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és visszanyerheti 
tanfolyam díjának 5099-át! 


Most érdemes részt venni hivatalos Microsoft tanfolyamainkon, mert nyári 
akciónk keretében tanfolyamonként minden HETEDIK jelentkezőnek a képzési díj 
509o-át visszaadjuk szabadon felhasználható tanfolyami utalvány formájában. 


Néhány képzésünk ízelítőül június-július hónapra: 

e Windows 2003 Active Directory üzemeltetés (2279) - június 4-8. 

e Windows XP üzemeltetési ismeretek [2272] - június 4-8. 

e SOAL2005 adatbázis-adminisztráció, üzemeltetés (1278042/89)] - június 1 1-1 4. 
e Exchange Server 2003 üzemeltetés (2400) - június 1 1-1 5. 

. Windows 2003 hálózat rendszertervezés, optimalizálás (2278) - június 1 1-1 5. 
e Windows Vista üzemeltetés (51 15-51 17] - június 1 1-1 5. 

. Windows 2003 hálózat üzemeltetés [2276/2277] - június 18-22. 

e Windows Server 2003 üzemeltetési ismeretek [2273] - június 25-29. 

e Windows XP terméktámogató, help-desk képzés (2261-2262) - július 2-ó. 

e SOL2000/2005 alapok, lekérdezések (2071/2778) - július 2-3. 

e SAL 2005 adatbázis inplementáció, programozás (2779) - július 4-ó. 

e Microsoft Operation Manager 2005 üzemeltetés (2287) - július 2-4. 

e Windows 2003 Active Directory üzemeltetés (2279) - július 9- 1 3. 

e SAL2005 adatbázis-adminisztráció, üzemeltetés (1278042789) - július 30-augusztus 2. 
e Windows Server 2003 üzemeltetési ismeretek (2273] - június 25-29. 


Kísérje figyelemmel további induló 
képzéseinket (Tanfolyamlesünket) 
is weboldalunkon! Regisztráljon online, 
vagy juttassa el letölthető jelentkezési 
lapunkat munkatársainknak! Több 
tanfolyami jelentkezés, 

nagyobb esély! 
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"Az akció valamennyi hivatalos Microsoft tanfolyamra 
érvényes, a tanfolyamok indulása esetén. A tanfolyamokra 
általános tanfolyami feltételeink érvényesek. Az akció más 
akciókkal, kedvezményekkel, kedvezményes konstrukciókkal 
nem vonható össze, az oktatási utalványok más szolgáltatásra 
vagy készpénzre nem válthatók át. Az utalványok felhasználási 
ideje 2007. december 20. Az akció augusztus 6-ig érvényes. 
További részleteket internet oldalunkon találhat. A képzésekre 
a jogszabályok szerint igénybe vehető a szakképzési hozzájárulás 
és felhasználható az SA oktatási utalvány. 








— BEKÖSZÖNTŐ 





S 
4 , 4 
ÉVÉRTÉKELÉS 
A megújult lechNet Magazin első éve. 


z új lapszámokat részben korábbi visszajelzések, részben saját elképzeléseink alakítot 
ták olyanra, amilyen végül lett. [Ideje volt azonban megkérdeznünk, hogy ez mennyire 
felel meg valójában az olvasók igényeinek. A legutóbbi számunkban található értéke- 
lőlapra számtalan visszajelzés érkezett, sokan arra is vették a fáradságot, hogy saját gondola- 
taikat is megosszák velünk a számszerű értékelés mellett. Mi pedig - bár néha nehezen hiszik 
ezt el nekünk - sok időt szántunk arra, hogy a visszajelzések alapján kitaláljuk, merre tovább, 
illetve megvizsgáljuk, mennyire teljesítettük a kitűzött feladatot: hogy a leghasznosabb infor- 
matikai magazin legyünk a Microsofttechnológiákkal foglalkozó szakemberek számára. 
Nézzük tehát, milyennek látják az olvasók a TechNet Magazint: 
A TechNet Magazin összesített értékelése: 7.51/9 
A tartalom minősége, stílusa, kidolgozottsága:  7,67/9 


Hasznosság a szakmai tudás frissítésében: 6,93/9 
Arculat, design, kinézet: 8,25/9 
Ajánlaná ismerősének a Magazint? A válaszadók 98,7 százaléka 


A jelek szerint tehát összességében megfelelő úton járunk. Természetesen nem gondolom 
azt, hogy ezeken az értékeléseken ne lehetne javítani a jövőben, különös tekintettel a tarta- 
lom hasznosságára. Ezzel kapcsolatban volt még egy kérdésünk, mégpedig az, hogy mennyire 
elégedettek olvasóink a TechNet Magazin tartalmának mélységével: több áttekintés vagy több 
mélyebb cikk volna fontosabb? Itt az 5-ös érték jelentette volna azt, hogy most minden úgy jó, 
ahogy van. Az eredményül kapott 5,84 azt mutatja, hogy kicsivel több mély cikkre van igény, 
de nagyjából megfelelő az egyensúly. 

Ezt az évet leginkább az új termékek áttekintésére szántuk. Hogyan lesz a folytatás? Ősztől 
szeretnénk az elmúlt évben bemutatott számtalan új Microsoftsszoftvert - soha korábban nem 
jelent meg ennyi termékünk egyszerre! - mélyebben is feltárni, hogy még többet segítsünk az 
informatikai szakemberek mindennapi munkájában. Sokkal több konkrét üzemeltetési te- 
rülettel, és lényegesen több azonnal is használható tippel és trükkel jelentkezünk majd, de a 
jövőben is szeretnénk megfelelő áttekintést adni az új és érkező megoldásokról. Ezeket a cik- 
keket pedig továbbra is az ország legjobb szakemberei írják majd! 

Most még ebben a számban egy kicsit előreszaladunk, és megmutatjuk, mi várható a Win- 
dows Server 2008-ban (ami hosszú-hosszú ideig Longhorn Server néven létezett a szakmai 
köztudatban). Ősztől ezeket és a korábban bemutatott technológiákat fogjuk tovább boncolk 
gatni, reméljük minden olvasónk legnagyobb megelégedésére. Végezetül szeretnénk minden- 


kinek megköszönni a visszajelzéseket, és azt, hogy hűséges olvasóink! 
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Az első lépések 
(Budai Péter) 
Hogyan kezdjünk hozzá ennek az igencsak terjedelmes és nagy tudású 


rendszernek a megismeréséhez? 6. oldal 





Windows Server 2008 AD — csak frappánsan 

(Gál Tamás) 

A legjobb a változásokban az, hogy valódi, életszagú igényeket fednek le, 

illetve régóta elvárt, praktikus szolgáltatásokat valósítanak meg 8. oldal 


JA 
i8 


Maximum és minimum — a Server Core 

(Gál Tamás) 

Négyszáz megahertzes CPU? 128 megabájt RAM egy teljes értékű DC esetén? 

5.6 gigabájt helyfoglalás egy olyan Windows-kiszolgálónak, 

amelyik jelen pillanatban 23 különböző kiszolgálószerepet képes ellátni? 13. oldal 












































Windows Server Virtualization 

(Budai Péter) 

Egy közel száz kilobájtos kis réteg van készülőben - egy mikrokernel, 

amelyik képes az erőforrások (memória, processzor stb.) megosztására 

több operációs rendszer között 19. oldal 


[ 


Összefűzve — új hálózati technikák 


(Gál Tamás) 
Egy jól megkevert összeállítás, elemei azonban két ponton mégis összekapcsolódnak. 


Az egyik pont a Windows Server 2008, a másik pedig a hálózat 26. oldal 








Egy fürt Windows 
(Ország Tamás) 
Miképpen lehetne egy szervezet működéséhez fontos alkalmazások, adattartalmak 


elérhetőségét folyamatosan biztosítani? 30. oldal 
; . 


Microsoft TechNet 
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Biztonság 





Erős bástya 
(Gál Tamás—Kelemen László) 


A Windows Vista biztonsági újdonságai mind beépültek a Serverbe is. 


Felmerülhet a kérdés: vannak-e további újdonságok? 34. oldal el j v8 
Ajándék VolP könyv 
új előfizetőknek! 





Alkalmazásplatform 


Internet Information Services 7 
(Soczó Zsolt) 


Az Internet Information Services még az NI4-ben kezdte hosszú pályafutását, 





1996-ban. Most már a hetes változatnál tartunk, ami a Windows Vistában 


debütált, és benne lesz a Windows Server 2008-ban is 38. oldal 





Windows Server 2008 — egy fejlesztő szemével 














(Smulovics Péter) 
A soksok év munkájaként megszülető új szerver fejlesztői újdonságainak 
rövid bemutatása - a legérdekesebb funkciók kiemelésével 42. oldal jACON 
IEEE sss] 4 ga elte 
— nagyon o babát 
OLAP-alapok öögzáseés sáátő ö 
(Kovács Zoltán) 
Egy OLAP rendszer felépítésének lépései és a legfontosabb fogalmak 
bemutatása egy tipikus feladaton keresztül: kimutatáskészítő rendszer készül 45. oldal 
0. 0. , 
Közösség 
Saját Microsoft 
(Budai Péter) 
, Lehozzuk a technológiát földközelbe" - interjú Kőnig Tiborral 49. oldal 





előfizetési 


akció — 


Éves előfizetés t VolP könyv: 


most csak 16 668 Ft 


www.it-business.hu 
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AZ ELSŐ LÉPÉSEK 


Hogyan kezdjünk hozzá ennek az igencsak terjedelmes és nagy 


tudású rendszernek a megismeréséhez? 


legjobb megoldás az olvasáson kívül, ha megnézzük, milyen komponenseket telepíthe- 
tünk fel, vagyis, hogy egyáltalán milyen képességek és eszközök állnak rendelkezésünk- 
re az új szerveroperációsrendszerben. 

A telepítés során túl sok meglepetés még nem ér minket: funkcionalitás szempontjából 
ugyanis csak azt választhatjuk ki a grafikus felületen, hogy milyen verziójú Windows Server 
2008-at telepítünk. Itt kell eldöntenünk, hogy Core vagy teljes Windows Server 2008-at szeret 
nénk, valamint a rendelkezésünkre álló szériaszám alapján itt automatikusan is eldőlhet, hogy 
azon belül Standard, Enterprise, Datacenter vagy Web Editiont kapunk. (Érdekesség, hogy a 
Web Edition most már sokkal hangsúlyosabb nevet kapott: ezentúl Windows Web Server név- 
re hallgat majd ez a Windows Server 2008-változat.) 

Mint már megszokhattuk, ha nem használunk a telepítéshez valamiféle válaszfájlt (unat 
tend.xml), a szerver csak a legfontosabb, a működéséhez és elindulásához feltétlenül szükséges 
komponensekkel települ, és gyakorlatilag semmilyen szerepkör és képesség nem aktív ilyenkor 


még rajta. Azonban a rend- 


Fame "öld 


DI Windows Server. 
Code Name Longhorm 


szer első indításakor rög 8 
9 A B , E 48 1 Perform the following tasks tó inítály configure this server 
tön az itt láható képenyő 


a 


1 Speciyng corrgukot ntornahon "a 


a Provide Computer Information 


fogad minket. TÁ settszttsttzsájtánáti 


Administrator Account:  Admiresttatot 
Password: ep 


TT Seltme zone Time Zone: (GMT 06.09) Central Time (US Canada) 


Naga a Server Manasci 


A ; A Conbgure pötveskneg 
a korábbi Manage Your 8 j 
A Prowide computot name and donan Hull Computer Name: LH$161 
Wworkgroup: WORKGROUP 


Server funkció helyett ke- GGYÉÜÉTE 
sz Lnable Wndowrs Update and teödback Windows RENBE 


rült be a rendszerbe, és gya- 





korlatilag nem más, mint a Ér sázetátst ervdkeátor üde AZTAT 

szerverünk kényelmes kon-  eráttátse Tar ontáás TÓL tatáttéánásess 
figurálásához használható ei ese 2 

MMC snapinek gyűjtemé- gs alót sa dé 

nye: Bz is, csakúgy, mint a EA nénk - 
Manage Your Server, alap- T Borotáhanttá nindomáttagon de 





Ez az ablak nem más, mint az új Server Manager egy nézete 
(Initial Configuration Tasks) 


beállítás szerint a szerver 
re történő belépéskor auto- 
matikusan elindul (persze 
kikapcsolhatjuk, akár csoportházirendből is), azonban annyi különbség mindenképpen van, 
hogy ez már valóban hasznos adatokat, funkciókat tesz elérhetővé - ezért vélhetően keveseb- 
ben fogják reflexszerűen kikapcsolni. 

Természetesen szeretnénk telepíteni a még szinte üres szerverünkre különféle képességeket. 
Itt érhet minket az első meglepetés, ugyanis szerepkörök (Roles) és képességek (Features) hoz- 
záadására is van lehetőség. Vajon mi köztük a különbség? Miért van ezekre szükség? 

Már a Windows Server 2003 esetén is volt mód szerepkörök telepítésére, azonban az még 
csak egy egyszerű varázsló volt arra, hogy a számunkra fontos, összetartozó képességek csoport 
ját egyszerre, egy lépésben telepítsük a rendszerre, vagy ugyanezeket egy lépcsőben távolítsuk 


el. Windows Server 2003-nál azt is megtehettük, hogy ugyanezt az Add/Remove programs 


[4 


menüpontból, manuálisan érjük el. A követ 
kező meglepetés akkor érhet minket, amikor 
az Add/Remove programs opciót keressük: 
helyette ugyanis szintén a Server Manager 
köszön vissza ránk! Vagyis kénytelenek le- 
szünk megbarátkozni - az amúgy nagyon 
logikusan felépített - szerepkörök és képessé- 
gek listájával, nincs már más mód funkciók 


és komponensek telepítésére. 


A szerepkörök 

A szerepkör (Role) egy olyan jól definiált 

feladategyüttes, amit szeretnénk, ha a szer- 

verünk ellátna a hálózatunkon. A legtöbb 

szerepkörhöz azonban további szerepkör-szol- 

gáltatások (Role Services) tartoznak, és ezek 

nem feltétlenül szükségesek az adott szerep- 

kör működéséhez, hanem teljességgel opcio- 

nálisak, további képességeket tesznek elérhe- 

tővé. Valamennyi szerepkörsszolgáltatás téte- 

les felsorolása nagyon hosszú volna, de azt 

érdemes áttekintenünk, hogy milyen szerep- 

körök állnak rendelkezésünkre: 

n Active Directory Domain Services; 

a Active Directory Lightweight Directory 
Services; 

a Active Directory Federation Services; 

a Active Directory Rights Management 
Services; 

a Active Directory Certificate Services; 

na File Server; 

m Print Services; 

n Fax Server; 

n DNS Server; 

n DHCEP Server; 

an Network Access Services; 

n Web Server (IIS9); 

Windows SharePoint Services; 

a Universal Description, Discovery, and 
Integration ( UDDD Services; 


Microsoft TechNet 
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x Windows Deployment Services; 
n "Terminal Services; 
. Windows Media Services. 

A szerepkörök többsége néhány kivétel 
től eltekintve már ismerős lehet. Az Active 
Directory Lightweight Directory Services 
(AD/LDS) az Active Directory Application 
Mode (AD/AM) új neve. A Network Access 
Services többek között a Network Access 
Protection technológiát rejti magában, a 
Windows Deployment Services pedig az 
Automated Deployment Services (ADS) le- 


származottja. 


nem szerepkör - a Failover Clustering képes- 
ség ugyanis leginkább arra szolgál, hogy más 
szerepkörök rendelkezésre állását növeljük, 
például a File Server szerepkörét, illetve hogy 
szerepkörtől függetlenül biztosítsuk más erő- 
források átterhelhetőségét. 

Lássuk, melyek is ezek a képességek a 
Windows Server 2008-ban: 
a .NEI Framework 3.0 
a BitLocker Drive Encryption 
sz EKIS SérvénEstemsioms 


a Connection Manager Administration Kit 





Add Roles Wizard 


Nézzünk egy példát a szerepkör 
szolgáltatásokra is! Példaképpen 


Deforc You Begin 
Select Sorvor Rolos 
File Server 


kiválasztjuk a File Server szerep- 


kört, és megjelennek azok a to- 


Installatijon Progress 
Instatlatian Results 


vábbi szolgáltatások, amelyeket 
ennek részeként telepíthetünk 
rendszerünkre. 

Valamennyi itt szereplő szol 
gáltatás már teljesen opcionális, 
egyiket sem szükséges telepíte- 
nünk ahhoz, hogy az alap fájlszer- 
verfunkciókat elérjük. 

Esetünkben  telepíthetnénk 
például a File Server Resource 
Managert, amellyel hozzáférhetnénk ennek 
a konzoljához (fsrm.msc), és beállíthatnánk 
a felhasználóknak tárhely-kvótákat, értesíté- 
seket, figyelmeztetéseket, fájltípus-megköté- 
seket, illetve generálhatnánk jelentéseket is. 
Ugyancsak kérhetnénk a Distributed File 
System szolgáltatás telepítését, ami viszont to- 
vábbi két alszolgáltatásra bomlik, a DFS-N-re, 
illetve a DFS-R-re. 

Ha kiválasztjuk a Distributed File System 
szolgáltatást, alapértelmezésként mindkét al 
szolgáltatást is kijelöli számunkra a Server 
Manager, de ezután választhatjuk azt is, hogy 
nem kérjük őket, ha adott esetben nincs 


szükségünk rájuk. 


Képességek 

A képességek olyan rendszerkomponensek, 
amelyek önmagukban nem határozzák meg 
a szerverünk hálózaton betöltött szerepét, 
tevékenységét. Valójában a képességek vagy 
támogató funkciót látnak el (vagyis lehetővé 
teszik a szerepkörök és szerepkörrszolgáltatá- 
sok működését), vagy további extra, szerep- 
körhöz nem köthető funkciókat tesznek el 
érhetővé. Például a Failover Clustering egy 


képesség a Windows Server 2008-ban, és 
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eg Select Role Services 


kae Elk eea 
Confirm Installation Selections 
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Select the role services to install for File Server: 


Role services: Description: 

Distributed File System (OF5) provides 
tools and services for DFS Namespace 
and DFS Regplication. 
















DF5 Namespace 
.] DFS Replication 
Í ? File Server Resourus Manayer (FSRM) 
L! Services for Network File System (NF5) 
LL) Single instance Store (515) 

[1] Windows Search Service 

A [] Windows Server 2003 File Services 

File Roplication Servicc (FAS) 
Indexing Service 























A File Server szerepkör további szerepkör-szolgáltatásai 


a Desktop Experience 

n Failover Clustering 

a Group Policy Management 

n Internet Printing Client 

a Internet Storasc Namins SETVET 
a LRP Port Monitor 

a Message (9ueuing 

a Multipath [/D 

a. Network Load Balancing 
Resolution 


u Peer Name 


Protocol 

x Cuality Windows Audio Video 
Experience 

an Remote Ássistance 

a Remote Server Administration 
Tools 


a Removable Storage Manager 


E ze 


x Windows PowerShell 

x Windows Process Activation Service 
. Windows Recovery Disc 

x Windows Server Backup 

x Windows System Resource Manager 
x WINS Server 

Wireless Networking. 

Természetesen egyes szerepkörök és sze- 
repkörsszolgáltatások telepítésekor szükség le- 
het néhány képesség telepítésére is, ezekre a 
Server Manager még a szerepkörök telepítése 
előtt fel is hívja a figyelmet, illetve felajánlja, 
hogy pótolja a hiányosságokat. 

Érdekesség, hogy a Windows Server 2008 
a Server Manager működéséhez a System 
Center termékek alapját képező és a Dinami- 
kus Rendszerek Kezdeményezés egyik alap- 
kövének számító System Definition Modelt 
használja fel. 

E modellek segítségével képes eldönteni 
a Server Manager, hogy mik a komponen- 
sek közötti függőségek, és egyáltalán milyen 
telepítési lehetőségeink vannak. Ugyancsak 
érdekes, hogy az egyes komponensek vala- 
mennyi beállítási lehetőségét is pontosan 
definiálják ezek a modellek, így azokat akár 
parancssorból (a ServerManagerCmd.exe se- 
gítségével), akár a Server Manager felületéről 
is könnyen el tudjuk érni. 

Látható, hogy a Server Manager és a mö- 
götte húzódó infrastruktúra sokat segít majd 


abban, hogy szervereinket könnyebben tud- 
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a RPC over HI IP proxy 

a Simple ICP/IP Services 

a SMIP Server 

an SNMP Services 

a Storage Manager for SANS 

n Subsystem for UNIX-based Applications 

n "Telnet Client; Ielnet Server 

a TFIP Client 

. Windows Internal Database (SOL Server 
2005 Embedded) 


A Server Manager működés közben: minden beállítás egy helyen 


juk konfigurálni, és - hála az új felületnek 
- nemcsak szerepkörök telepítésére és eltávo- 
lítására, hanem a szerepkörök és képességek 
napi szintű kezelésére is ez lesz a legkényelme- 
sebb felület a legtöbb rendszergazda számára. 
Budai Péter 

(i-pbudai(oOmicrosoft.com) Microsoft Magyarország 
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Kisebb és nagyobb változásokat egyaránt észrevehetünk majd 


a címtárszolgáltatások területén a következő generációs 


Windows-kiszolgálóban. A legjobb ezekben a változásokban az, 


hogy valódi, életszagú igényeket fednek le, illetve régóta elvárt, 


praktikus szolgáltatásokat valósítanak meg. 


címtárszolgáltatással kapcsolatos változások és fejlesztések minden új Windows-kiszol 
gáló esetén a fókuszba kerülnek. Nyilván nem véletlenül, hiszen a címtár-hierarchia 
rugalmassága és alkalmazhatósága miatt a tíz és a tízezer gépet tartalmazó hálózatok 
esetén is egyaránt jól használható az Active Directory, mégpedig a minden szervezet számára 
legfontosabb célra: a felhasználók, a számítógépek és egyéb erőforrások tárolására és kezelésé- 
re. Persze emellett a biztonsági , erőtér" megteremtése és egyéb fontos kiszolgálóalkalmazások, 
-megoldások (Exchange, Csoportházirend stb.) működésének támogatása is kritikusan fontos 
feladat. Az éppen a napokban aktuálissá vált Windows Server 2008 Beta 3 apropóján a követ 
kező újdonságokról, illetve változásokról számolhatunk be ebben a cikkben, a teljesség igénye 
nélküli: 
a Read-Only tartományvezérlők (RODO); 
a több tartományi jelszó- és kizárási házirend; 
m az újraindítható címtárszolgáltatás; 


a Snapshot Exposure. 


Read-Only tartományvezérlők (RODC) 


Egy teljesen új tartományvezérlő-típusról van szó, amelyről elmondható, hogy ténylegesen va- 
lós igények hozták a felszínre. Egy mondatban összefoglalva: a RODC egy olyan DC, amely tar- 
talmazza a címtár egy példányát, azaz képes az összes tartományvezérlő feladat ellátására, de a 
címtár tartalma nem változtatható meg helyben. Miért előnyös ez? 

Biztonságos. Mivel nincs globális AD-módosítási lehetőség, olyan környezetbe is ajánlható, 
ahol fizikailag nem garantálható a biztonság, például egy védett szerverszobát nélkülöző telep- 
helyre. Ha esetleg aztán az adott szervert helyben megpróbálják feltörni, vagy történetesen el 
tulajdonítják, az igazán szenzitív, globális tartományi adatokhoz nem lehet majd hozzáférni 


semmilyen módon, hiszen helyben ezek alapértelmezés szerint nem tárolódnak! 


[/) 


Sávszélesség- — és  erőforrás-takarékos. 
Mivel egy telephelyre biztonságosan telepít 
hető, a hitelesítési folyamatokhoz (például 
belépés, a helyi erőforrások elérése) nincs 
szükség a WAN-hálózatra vagy az internetre, 
igaz, ekkor némi kompromisszumra kénysze- 
rülünk, lásd később. 

Alkalmazás- és üzemeltetésbarát. Előfor 
dulhat, hogy az üzleti szempontból is fontos 
alkalmazások megkövetelik a tartományve- 
zérlőt mint host gépet, vagy legalább a gyors 
elérését. Az is elképzelhető, hogy ezt az alkal 
mazást - más szerver híján - az egyetlen ltelep- 
helyi) szerverünkre kell feltelepíteni. Sőt, az is 
előfordulhat, hogy a speciális alkalmazást egy 
külső cég üzemelteti, azaz szüksége van inter- 
aktív belépésre, magas jogosultsági szinttel. 
Ki az, aki szívesen ad tartomány-rendszergaz- 
dai jogot egy ilyen esetben a külső szervezet 
nek? Viszont eddig - egy DC esetén - majd- 
nem minden esetben muszáj volt, hiszen más 
lehetőségünk nem volt. Nos, a RODC esetén 
nyugodtabbak lehetünk, hiszen: 

a nem lehet módosítani a címtár adott pél 


dányát helyben; 


Microsoft TechNet 
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a tartományvezérlő mivolta ellenére van he- 
lyi Administrator csoport, azaz lehetséges 


az Active Directoryn kívüli minden mást 


továbbra is kaphatnak egyszerűen hozzáfé- 
rést a címtár helyi példányához, de csak ol 
vasási joggal. Ha ennél többre van szükség, 


akkor például LDAP-n keresztül 





j Active Directory Domain Services Installation Wizard 


Additional Domain Controller Options 





automatikusan továbbkerül a ké- 


rés a hub site (a központi telep- 





hely vagy ahol egy írható DC 





Select additional options for this domain controller. 
I DNS server 
[v Global catalog 





There is currently 1 DNS serverthat is registered as an authoritative name 
domain. 


server for this 


More about additional domain controller options 


A Back 





van) felé. 

Az úgynevezett unidirectional 
replikáció következménye az a 
változás is, hogy az írható DC-k a 
replikációs folyamatban felisme- 
rik: a partnerük egy Read-Only 
szerepkört tartalmaz, és ebben az 
Ed esetben nem is kezdeményezik a 
, pull" típust, hiszen nem is jön- 
ne, nem is jöhetne semmilyen 


változas a (RODC irányából Ez 








A RODC szerepkör kiválasztása 


üzemeltetni egy nem Domain Admin fel 

használói fiókkal! 

Üzemeltetésmentes. Nincs AD-üzemelte- 
tés, ergo nincs szükség magasabb szaktudású, 
Domain Admins jogosultsággal rendelkező 
szakemberre, hiszen nincs semmilyen, a tar- 
tományhoz, erdőhöz kapcsolódó üzemelteté- 
si feladat. 

Folytassuk a RODC megismerését a meg- 
oldandó technikai problémákkal, hiszen mi 
vel teljesen új szerepkörről van szó, a garan- 
tált működéséhez szükség volt az ismert cím- 
tár és címtártámogató megoldások alapos és 


mélyreható korrekciójára. 


A Read-Only címtáradatbázis 

és a replikáció 

A RODC ,alatt" működő címtár-adatbázis- 
példánynak teljesen ugyanúgy kell kinéznie, 
mint egy hagyományos DC-nél (a jelszavakat 
kivéve, de erről majd később), mert külön- 
ben hogyan megy le a replikáció, azaz hogyan 
lesz kompatibilis? Viszont változásokat nem 
tárolhat, és nem is replikálhat, azokat sem, 
amelyek esetleg szükségesek. Így aztán az ösz- 
szes változási kérelemnek el kell jutnia vala- 
hogyan egy írható DC-ig, hogy aztán a ha- 
gyományos replikációval visszakerülhessen a 
ROD -cimtar peldányabatez az a pitisz köt 
amely kizárja a korábbi telephelyi, sima DC 
esetén egyszerűen bevihető, és esetlegesen az 
egész erdőt negatívan érintő adatbázis-válto- 


zásokat. Persze például a helyi alkalmazások 
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megint csak sávszélesség-csökken- 
tést jelent, és egyúttal a hídfő- 
DC-ket sem terheljük annyira. 
Ide tartozik az is, hogy ez az új, egyoldalas 
replikáció nemcsak a címtárszolgáltatások- 
nál jelentkezik, hanem értelemszerűen az 


ugyanígy használható DFS-R-nél is. 


A hitelesítési adatok 
gyorsítótárazása 

Alapértelmezés szerint a RODC - két kivétel 
től eltekintve - nem tartalmazza semmilyen 
felhasználói vagy számítógépfiók jelszavát. E 
két kivétel a RODC gépfiókja, illetve a spe- 
ciális szerepet betöltő krbtet fiók. Viszont ar- 
ra van lehetőségünk, hogy bármely más fiók 
hitelesítési adatait gyorsítótárazzuk. Miért 
akarnánk ezt tenni? Egyszerű: ne kelljen 
,kimenni" az adott hálózatból, az esetlege- 
sen lassú kapcsolaton keresztül egy központi 
DC-hez, mondjuk, minden felhasználói belé- 
pés vagy egyéb hitelesítés esetén. De hogyan 
lehetséges az ilyen típusú adat eltárolása és 
kiszolgálása? 

A RODC képes KDC-ként (Key Distribu- 
tion Center) viselkedni a telephely felhasz- 
nálóival és gépeivel szemben, azaz képes lesz 
tökéletes és érvényes Kerberos-kulcsokat ki 
adni, amelyeket aztán a fiókok teljes körűen 
használhatnak is a hitelesítési folyamatban - 
a központi DC-k nélkül is. Viszont már most 
tudnunk kell, hogy a RODC a TGT-kérések 
A ATASÁMOZ TES TEK ŐSÍTAS áló zératts aj átáet Gst 
fiókját és annak jelszavát is használhatja, 
amely nyilván különbözni fog egy központi 


DC ugyanerre a célra használt krbtet fiók: 


[midi x 


jának hitelesítési adataitól. A folyamatban e 
két forrás különbözősége lesz a kulcs. 

Szóval, az első alkalommal a hitelesítés biz- 
tosan csak egy központi DC-vel fog menni, 
mert ugye a kliens az alapértelmezés szerint 
szeretné használni a RODC-t, de ekkor ez 
még csak továbbítani tudja a kérését. Ha ez- 
zel a közvetítéssel sikerül a hitelesítés, akkor 
a RODC el fogja kérni az adott fiók hitelesíi- 
tési adatait. 

Persze, az írható DC csak úgy nem ad- 
ja oda, hanem - miután felismerte, hogy ez 
egy RODC kérése - az úgynevezett Password 
Replication Policy (PRP) alapján dönti el, 
hogy szabad-e ezt tennie vagy sem. A PRP 
gyakorlatilag egy mini táblázat, amelybe ma- 
nuálisan kell felvennünk azokat a csoporto- 
kat, gép- vagy felhasználói fiókokat, amelyek- 
ről úgy ítéljük meg, hogy hitelesítési adatai- 
kat nyugodt szívvel merjük gyorsítótárazni a 
RODC-n 

Alapesetben ez a táblázat teljesen üres, az- 


az minden fiók és csoport számára tiltott ez a 








lap ad áld deja idd (ti 


MemberOf  ]  Delegation 


General ] Operating System ] 
j Location I Managed By l Dialin 


Password Replication Policy 


This is a Read-only Domain Controller (RODC]. An RODC stores users and 
computers passwords according to the policy below. Only passwords for 
accounts that are in the állow groups and not in the Deny groups can be 
replicated to the RODC. 
Groups, users and computers: 
(Name —————————— [/dcAuthirectory Dom... ( Settng 

Account Operators Ihb3.local/Builtin 

Administrators Ilhb3.local/B uiltin 

Állowed RODC Passw... . Ihb3.localé JJ sers 

Backup Operators Ihb3.localzB uiltin 

Denied RODC Passwo... Ihb3.local/Users 

Server Operators Ihb3.localzBuiltin 





Cancel [/ égy [/ Heep Í 
A PRP fül a RODC tulajdonságai között az ADUC-ban 








lehetőség. Ha viszont a kérdéses fiók számára 
engedélyezve van a gyorsítótárazás, akkor a 
központi DC átnyújtja a megfelelő adatokat 
a RODC-nek, amely meg szépen elraktározza 
ezeket, majd - most jön a helyi krbtgt fiók 
szerepe - a saját fiókjával aláírt TGI-t adja 


oda a kliensnek. 


A második belépés 
De mi történik a második belépéskor? Mert 
hogy immár van tárolt jelszó helyben is, az- 


az a RODC képes lenne ellátni a hitelesítést 
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közvetlenül is, de honnan tudja, hogy ezt 
megteheti?! Egyszerű: a RODC képes felfe- 
dezni az adott TGT-n a saját krbtet fiókjának 
nyomát, vagyis ha megtalálja, akkor automa- 


tikusan nem küldi tovább a köz- 


DomainDNSzZones) vagy a kliensek mara- 
déktalan névfeloldási kéréseinek kiszolgálá- 
sára. De... A RODC jellegéből adódóan nem 


minden művelet történhet meg. Melyek ezek? 





ponti DC felé a kérést, hanem a 
helyben tárolt adatokkal gyorsan 


és problémamentesen megoldja a 


ai Active Directory Domain Services Installation Wizard 





Delegation of RODC Installation and Administration 








— Xx 
S 


a Az a DC, amelyhez a RODC a hitelesíté- 
si kéréseket intézi majd, csak Windows 
Server 2008 lehet, hiszen a Password Rep- 
lication Policy csak az új szerverrel ké- 
pes működni, illetve felismerni, hogy egy 
olyan speciális kérésről van szó, amelyet 
egy RODC adott ki. 


a A tartomány működési szintjének leg- 


hitelesítést. The te er aaa el vot eneci válba etis to elteti a sees ta tte HOD alább Windows Server 2003-nak kell len- 
8 T B account that you are creating now and complete the RODC installation. They will 5 b B kelts B ől 
A Password Replication Policy also have local administrative privileges on this RODC. nie, azért, hogy elérhetővé (azaz inkább 


To simply administration, you should specífy a group and then add individual users 
to the group. 


Group or user: 


[LHB3RO DOCAUIH i 


Other accounts can also inherit permissions on this RODC, but those accounts will not 
have local administrative rights on this RODC unless you add those accounts explicitly. 


, feltöltése" abszolút a mi dönté- kikényszeríthetővé) váljon a biztonságos 


sünk - mérlegelnünk kell tehát, Kerberos-delegálás. 


hogy mely fiókok vagy csoportok a Az erdő működési szintjének tekintetében 





is kötelező a minimum Windows Server 


2003-as 


azok, amelyeknek a hitelesítési 


adatai lekerülhetnek a RODC-re. szint, az úgynevezett linked- 


Ha minden, a telephelyen hasz- 
nált fiókot engedélyezünk (és eset 
leg a tartományi admin-fiókokat 


is!), gyors lesz a belépés, viszont 





More about delegation for read-only domain controller administration 
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ha eltulajdonítják a gépet, hozzá- 
férhetőek a jelszavak, ugyanúgy, 
mint egy hagyományos DC ese- 
tén. Ha csak néhány szimpla felhasználói fió- 
kot engedélyezünk, akkor több idő megy el 
más fiókok esetén a belépésre, viszont nincs 


komoly biztonsági probléma. 


Az admin-jogok szeparálása 

Már említettük, hogy a RODC-n szükséges 
és fontos is egy helyi, magas szintű jogosult 
ság biztosítása, ami hozzávetőleg a lokális 
admin jogkörével egyenlő - anélkül, hogy 
a címtár objektumaira bármilyen befolyása 
lenne az ebbe a csoportba tartozó felhaszná- 
lóknak. 

Egy ilyen fiók csak egy tartományi fiók le- 
het (célszerűen az adott telephely egy felhasz- 
nálója), és ami még fontos, ha egy másik hely- 
színen, egy hagyományos tartományvezérlőn 
lépne be ez a felhasználó, akkor ez ugyanúgy 
nem fog sikerülni neki, mint mielőtt meg- 
kapta volna ezt a lehetőséget a RODC-n. Egy 
fiók e csoportba történő belehelyezése egyéb- 
ként kétféle módon történhet meg: 

1. a parancssorból a Dsmgmt eszközzel; 

2. a RODC telepítése során a varázsló 


egyik lépéseként. 


Read-Only DNS 

,Ha DC, akkor DNSz-szerver is". Ezt a tételt 
a RODC esetén is tudjuk érvényesíteni. A 
RODC DNSzsszerver teljes értékű, például ké- 
pes az összes, a DNS által használt alkalma- 


záspartíció replikálására (ForestDNSzZones, 


Ld 


A RODC helyi admin-fiókjának kijelölése a telepítés során 


Nos, ide tartozik például a kliensek automa- 
tikus regisztrációja a DDNS segítségével vagy 
saját maga felvétele például egy AD-integrált 
zónába, egy NS-rekord alá. 

Így aztán, ha egy kliensgép sa- 


value replikáció használata miatt, amely 

nagyobb replikációs megbízhatóságot 
nyújt, illetve lehetővé teszi, hogy ne az 
adott elemet tartalmazó egész tömb repli- 
kálódjon, hanem csak a ténylegesen meg- 
változott elem. 

an A Password Replication Policy használatá- 
nak alapfeltétele a sémabővítés. 

an Használnunk kell az Adprep/rodcprep pa- 
rancsot az erdő szintjén, ami azért szüksé- 


ges, hogy frissítsük az erdő összes DNS-alL 





ját rekordjának frissítését végezné 
el, aakor a RODC DNS közli ve- 
le, hogy mely DNS-szerveren te- CS 
heti ezt meg, merthogy helyben 
szó sem lehet róla. 

Mindeközben azért - a hát 
térben - megkísérli a megfelelő 
DNS-szerverről lehúzni a kliens- 
re vonatkozó változást, azért, 
hogy a következő pillanatban 


már ki tudja szolgálni egy másik 








Deleting Domain Controller 


The computer object you want to delete represents this Read-only Domain Controller: 


If the Read-only Domain Controller was stolen or compromised, it Is recommended that you reset the 
passwords of the accounts that were stored on this Read-only Domain Controller . 


[9 Reset all passwords for user accounts that were cached on this Read-only Domain Controller , 
Warning! This operation will reguire these users to contact vour helpdesk to obtain a new 
4 password. 


IT Reset all passwords for computer accounts that were cached on this Read-only Domain Controller , 
Warning! This operation will disjoin these computers from the domain and they will need to be 
4 rejoined, 


list of accounts that were cached on this Read-only Domain Controller 
[7 Export the View List... I 
to this File: 


Location: 
I C:iUserstadministratorjDocumentsítoroltaccok. txt] Browse., . , I 


(tette 





kérés során ezt a nevet/címet. 
Ugyancsak fontos, hogy szeren- 
csére ez a replikáció csak az adott 
DNS-rekordra vonatkozik, nem kell tehát 


egy egész zónát , lehúzni" a folyamat során. 


A RODC bevezetésének feltételei 


Nem kevés, , súlyos" elem van ebben a listá- 

ban, de talán az eddigiek alapján látszik, hogy 

valóban mélyen bele kellett nyúlni a címtár 
működésébe a RODC-k bevezetése miatt: 

a A PDC Emulator FSMO szerepét betöltő 
DC csak Windows Server 2008 lehet. Ez 
elsősorban a RODC ktbtet fiókjának , le- 
gyártásához", illetve egyéb RODC-műve- 
letekhez szükséges. 


A RODC manuális eltávollítása a címtárból 


4 e 


kalmazáspartícióját, hogy aztán az összes 
RODC DNSz-sszerver képes legyen - im- 
már a megfelelő jogosultsággal - replikál 


ni ezeket a rekordokat. 


A RODC eltávolítása 


Ebben a témakörben is van némi praktikus 
változás, azaz a RODC törlésekor kapunk se- 
gítséget ahhoz, hogy gyorsan orvosoljuk az 
eltulajdonítás vagy valamely drasztikus válto- 
zás okozta károkat. 

Egy ennek megfelelő esetben a törlés előtt 


(a "következő vabrán: jol" [átható módon) "a 
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RODC által is tárolt hitelesítési adatokat le- 
nullázhatjuk. 


Több tartományi jelszó- 

és kizárási házirend 

Jelen állás szerint egy Windows Server 2003- 
tartományban semmilyen megoldást nem ta- 
lálhatunk az egy tartomány — egy jelszóházi- 


rend tétel kikerülésére. Ha valamilyen nyo- 


muszáj legyártani az ,árnyék" biztonsági cso- 
portokat. Ez kissé bonyolítja talán a folyama- 
tot, de gondoljunk bele, mennyi csoportunk 
van viszont már készen, gyárilag létrehoz- 
va (Domain Admins, Enterprise Admins, 


Schema Admins, Server Operators, Backup 


Operators stb.)? 
A PSO-k létrehozása egyébként kétféle mó- 
don történhet, ADSI Edittel (adsiedit.msc) 


E oz 


Windows 


2008, és megtörtént a sémabővítés is (két 


funkcionalitási szintje Server 
teljesen új osztállyal kell kibővíteni a sémát). 
Ez viszont csak akkor érhető el, ha már likvi- 
dáltuk az összes Windows 2000/2003 Server 
DE 

J.Csak a Doma Admins csoport tagjai 


készíthetnek és alkalmazhatnak PSO-kat a 


fiókokra vagy a csoportokra. Olvasási jogot 


XN 


matékos okból mégis muszáj szabadon delegálhatunk a PSO-ra, de egy 








egy új jelszóházirendet defi- viszonylag életszerű példát említve, egy help- 


" Action — View Help 
60] almiXxD a 3 I Al 
22 ADSIEdk 
E 3 lhb3.local (LHOC.Hhb3.local:389] 
3 (7) DC-lhb3 DC-local 
21 CNszBultin 
TEN CNsComputers 


pers Ze — este 





niálni, akkor csak egyet lehet deskes kolléga nem fogja tudni megváltozat 





dass vistingutsnhed Name 
f] CNzTeleptrelyi userek PSO m5D5-Passwo... . CNzTelephelyi userek PSO,CNzPasswrord Seltings 


javasolni: egy új tartományt ni a jelszóházirendet. 


kell létrehozni, ami 3. Számítógép-fiókokra semmilyen körül 


nem tökéletes megoldás, talán mények között nem alkalmazhatók az új jel 


több is a hátránya, mint az elő- szó- és kizárási házirendek. 
(EI CNzComPartitionőets 

(EL CNaDefault Domain Policy 
21 CNzDFs-Corfiguration 

EI CNzDomainUpdates 

(EI CWrFile Replcatton Service 
(EI cwerilelinks 


új módszerrel - talán kicsit CI evzteetnge 


nye. A WSO8-ban végre meg- 4. A testre szabott jelszó-filterekkel már 


szűnt ez a korlát, egy teljesen szerencsésebbek vagyunk, mert minden to- 
vábbi következmény nélkül használhatjuk 


nehézkesen, de - kreálhatunk ezeket továbbra is. 





azonos tartományban több jel 


see [000] cen [en] 











szóházirendet is, sőt az új házi 
rend kiterjed a fiókkizárási (ac 
count lockout) öpciókra is. 

Miért fontos a több tartományi jelszóházi- 
rend? Nos, ez eléggé értelemszerű, hiszen mi- 
vel a felhasználói fiókok , súlya" nem azonos, 
a magas jogosultságú fiókokat jobban kell(e- 
ne) védenünk, erősebb jelszavakat lenne cél 
szerű megkövetelnünk, azért, hogy az emberi 
tényező (hanyagság, felületesség, felelőtlen- 
ség) által okozott problémákat megelőzzük. 
Emellett a normál felhasználói fiókok jel 
szavával kapcsolatban nem minden esetben 
szükséges kőkemény restrikciókat alkalmaz- 
ni, nem indokolt az átlagos felhasználókat 
,kínozni" az extra jelszómegadási kritériu- 
mokkal. 

Egy alternatív jelszó- és kizárási házirend 
létrehozásának lépései három pontban fog- 
lalhatók össze: 

1. Készítsük el a megfelelő csoportot és 
mozgassuk át a megfelelő fiókokat! 

2. Készítsük el az új PSO-t (Password 
Settings Objects), azaz az új jelszóházirendet! 

3. Rendeljük hozzá a PSO-t az adott cso- 
port(ok)hoz vagy akár egyesével a felhaszná- 
lói fiók(ok)hoz! 

Ebből már kiderülhetett, hogy az új jel 
szóházirendeket csak fiókokhoz vagy globá- 
lis biztonsági csoportokhoz rendelhetjük. Mi 
lesz az OU-kkal? Nos, sajnos közvetlenül 
nem rendelhető hozzá egy PSO egy OU-hoz, 


ha maradunk ennél a hierarchiánál, akkor 
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Egy PSO már kész van, következhet a második 


vagy ldifide-vel. Az első módszer első lépése 
a következő útvonalon egy új objektum lét 


rehozása: 


domain. name (N— System, CN — Password 
Settings, CN— Password Settings Container 


Az ezután következő, tíznél is több lépést 
tartalmazó varázsló beállításai között ráis- 
merhetünk a szokásos jelszó-, illetve kizárási 
házirend opciókra. [Időnként kissé bonyolul- 
tabb a mezők kitöltése, például csak másod- 
percben lehetséges értéket megadni, vagy az 
érvényesítési területet csak a distinguished- 
Name értékkel (CN- DC- stb.) lehetséges ki- 
jelölni. Ha a varázslót végiglépbkedtük, akkor 
készen van az új házirend, és már érvényre 
is jutott. Innentől viszont nem kell az ADSI 
Edit az esetleges korrekcióhoz, az ADUC- 
ban a SystemWPassword Settings Container 
alatt megtaláljuk (feltéve, ha engedélyeztük 
a View alatt a Advanced nézet opciót) és 
szerkeszthetjük az alternatív házirendeket. 
Hogyan! A szintén teljesen új (és szinte min- 
den objektumnál elérhető) Attribute Editor 


fül segítségével. 


Kritériumok és további megjegyzések 
1. Először is az egész folyamat csak akkor in- 


dítható el, ha az adott tartomány domain- 


Az újraindítható címtárszolgáltatás 

A Windows Server 2008 tartományvezér- 
lőkön a címtár újraindítható. Miért? És ho- 
gyan? 

Elsősorban azért, hogy ne kelljen újrain- 
dítani a gépet bizonyos esetekben, például 
a címtárt érintő frissítések vagy éppen az 
AD karbantartása (például offline defrag) 


apropóján. Meg aztán, amíg tart az újrain- 





Telephelyi userek PSO Properties 
General] Obiect] Security. Attibute Editor ] 
Attnibutes: 


msDS-MaximumPass... . -17280000000000 

msD$S-MinimumPassw... . -664000000000 

msD5-MinimumPassw... 3 

msD$S-NeType £not seb 

msD$-PasswordCom... . FALSE 

msD5-PasswordHisto... 3 ! 
msD$-PasswordReve... FALSE 

msDS-PasswordSetti.. 10 

msD$S-PSO4ppliesgTo  CN-Telephelyi userek CN-Users DC-Ilhb3.C 
name Telephelyi userek PSO 
CN-ms-DS-Password-Settings CN-Schema ( 
top; msD5S-PasswordSettings 
613370f93-74da-4ef0-3504-Je 7dfb.798beg 
£not seb 


object Category 
objectülass 
objectGUID 
objectversion 





Cancel J £pply Help J 
Egy kész PSO utólagos konfigurációja az ADUC-ból 








dítás - ez általában, szinte függetlenül a gép 
teljesítményétől rengeteg idő -, ne essenek 
ki egyéb, a tartományvezérlőn futó kriti- 
kus szolgáltatások, például a DHCP:szerver 
, csont nélkül" működik majd tovább. A cím- 


társzervizek leállítása és újraindítása bárme- 
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lyik WSOS8-tartományvezérlőn lehetséges, és 
nincs semmilyen egyéb megkötés sem, azaz 
az eddigi általános helyzettel szemben szó 
sincs például arról, hogy ez a lehetőség funk- 
cionalitásiszintfüggő lenne. 

Az újraindítási opció minimális változást 
hoz a kezelésben, és nincsenek extra opciók 
sem ezzel kapcsolatban, azaz tényleg csak any- 
nyiról van szó, hogy a DC-ken lévő Services 
MMC-ben megjelenik a listában a Domain 
Controller nevű szerviz, amelyet a szokásos 
módon lehet kezelni. Az AD ily módon le- 
állított állapotára egy külön, fantázia nélküli 
kifejezés van, úgy hívják: , AD DS Stopped" 
üzemmód. 

Igazából talán inkább az az érdekes, hogy 
ilyenkor mi történik a szerverrel a tartomány- 
ban? Vagy újra lehet használni a helyi felhasz- 
náló-adatbázist? Ezt azért nem. Tag marad er- 
re az időre egyáltalán a tartományban? Vagy 
tagkiszolgáló? Vagy egyik sem? Nos, ha egye- 
dül van a tartományban, akkor vélhetően lo- 
gikus, hogy egyik sem. Viszont ha több DC is 
van, akkor a tartományi tagsága él, és tagki- 
szolgálóként dolgozik addig is, amíg újra DC 
nem lesz. Így tehát például az interaktív vagy 
a hálózaton keresztüli bejelentkezés lehetősé- 
ge ebben az esetben is adott. Valamennyire 
akkor is igaz ez, ha nincs elérhető másik DC, 
mert ekkor a helyi belépéshez a Directory 
Services Restore jelszót kell használnunk. 

Sokáig persze nem célszerű azért így hagy- 


ni a gépet, hiszen a beléptetés vagy a repli- 


era evi dda da] a állna tni ád let áddrj alád AK 91 a! 


General [Log on] Recovery ] Dependencies 


Service name: NTDS 

Display name: Active Directory Domain Services 

Description: DS Domain Controller service. If this service is 

ten stopped, users will be unable to log on to the ] 
Path to executable: 

CAWindowstSystem32tsass. exe 

Startup type: [dutomatic sé ] 


Help me configure service startup options. 


Start I Stop j Pause [ 


You can specify the start parameters that apply when you start the service 


Írom here. 





Start parameters: 





SZ 


Egy leállított Active Directory-szolgáltatás 











káció természetesen nem működik, az adat 
bázis (Ntds.dit) offline, és a szerviz leállítá- 


sa értelemszerűen magával húz a sötétségbe 


1 





más szolgáltatásokat 15 (DNS "KDCSERS 
stb.). Ellenben ilyenkor a speciális Directory 
Services Restore üzemmód továbbra is min- 
den korlátozás nélkül használható, hiszen 
ehhez nem kell senkihez sem fordulnia az 
árva DC-nek - a jelszó érvényesítése, azaz az 
effajta bejelentkezés a szokásos módon, hely- 


ben megtörténhet. 


Snapshot Exposure 
Ismét egy teljesen új megoldásról van szó, 


amely - tömören - abban segíti az üzemelte- 


AS 


tatni. A szintaxisra vigyázzunk, és persze ar- 
ra is, hogy a kötelezően mellékelendő 4 port 
(LDAP, LDAP:SSL, GC, GC-SSL) mindegyi- 
ke eltérő legyen a szokásostól, azaz bármi le- 
het, csak ne a szabvány, hiszen a működő AD 
ezeket használja. 

3. Futtassuk az Idp.exe-t a szokásos módon, 
de ne a szokásos porton. Az LDAP-port az le- 
gyen, amit az előző pontban megadtunk. 

4. Kész, immár online tallózhatjuk az elő- 
ző AD-verziót! 

5. Ha végeztünk, a Dsamain.exe ablaká- 


ban állítsuk le az AD mentett 





TT Administrator: C:( Windowst system32i cmd.cHc 





wWsersVAádministrator)ntdsutil 
tdsutil: snapshot 
napshot: ? 


— $how this help information 

— Set "NIDS" or a épecit at AD LDS instance 
as thc activc instancc 

— Create a snapchot 


7; 

Activate Instance 7s 
Create 

— Dismount snapshot with guid /s. Specify 


— $huw Lhis kéz infurwmatl iun 
—- List snapshot 

—- List mnunted Saasla 

— Mount snapshot with aid /s 
Ouit — Return to the prior menu 


List Maunted 

Mount Zs 

snapshut : aucLivalt insLlanct "NID3" 
i "HIDS" 


pshot 
casékot SRE AR FdöF1a-e77a-4483- eSSea zel ETE e egg erated successfully. 
napshot: mount (0ffd8f1a-e77a—4483-—be61-27e3 


napchot: 
tdsutilz at 


N—sersVádministratordedN 


m2dir 
Volume in drive C haz no label. 
Volume Serial Number is EHE7-E55B 


Directory of CzX 


27/2887 i2:14 TH CJUNCTION) 
5—8815£2815d42941 


427/2887 ezt r43 mai 


87 89: I32 AH 
87 18:08 e 
28/2887 65:49 PM je IR 

2 FileCs) 34 b 
5 DirCs) 41.162.633.216 ketes free 


24 autoexec.bat 


CDIK2 
KDIR? 
4DIR? vindo 






















— Delete snapshot with guid /s. Snecify 36 te delete all snapshots 
x to dismount all mounted s 


napshot cat bőar2 6200 4f0c 0529 bdabebif1929) sezagted as C:XMISNAT 288784291219 VOLUMEC?N 


£SNAT 299784291219 VOLUMEC? IN??WolumncC(45479808 fG2f iidb 74 


példányát a CIRLHC-vel. 

6. Az Ntdsutilkt úgy is kon- 
figurálhatjuk, hogy rendszeres 
időközönként megtegye az au- 
tomatikus  pillanatfelvételké- 
szítést, így aztán valóban bár 
mikor visszanézhetünk majd a 
régebbi példányokba is. 

Egyetlen fontos dolog ma- 
radt még ezzel az újdonsággal 
kapcsolatban, amire nagyon 


oda kell figyelnünk, ez pedig 





a  — a biztonság. Alapesetben csak 





Egy pillanatfelvétel készítése, mountolása és kilistázása 


tőket, hogy egyszerűen azonosítsuk azokat a 
címtárobjektumokat, amelyeket így vagy úgy, 
de töröltünk vagy éppen megváltoztattunk. 
Bár visszaállítani nem fogjuk tudni ezzel a 


módszerrel, de mielőtt nekies- 


a Domain/ Enterprise Admin 
csoport tekintheti meg a pilla- 
natfelvételeket, de sajna bármelyik erdőből! 
Mindez azt jelenti, hogy ha valaki átmásolja 
a fájlrendszerből a pillanatfelvételt egy másik 


erdőbe, ahol történetesen Domain Admin, 





nénk a tényleges visszaállítás- 


J fm LHDC - 192.168.0.19 - Remote Desktop 





! E Active Directory Users and Computers 





Il File Action View Help 





nak, gyorsan áttekinthetjük, 


deslsmi4fülXxHes AAS türT9a 

















hogy mit kell és mit lehet majd Move otsagy 
B j E B 33 lhb3.local 
visszahozni. A legfontosabb vi DI 8 mun 


(E Computers 


HEHE 


szont, hogy ezeket a , pillanat A ösázű 
(E LostándFound 
(E Program Data 
(E System 

(TE Users 

(E NTODS Guotas 


felvételeket" vagy mentési pél 








EBHEBHEHEB 


dányokat anélkül tudjuk meg: ] 
tekinteni, hogy a speciális AD 
Restore Mode miatt újra kelle- ] 
ne indítani a gépet. 

A megvalósítás egyes lépései 
igényelnek némi szakértelmet, 
és részben parancssorból tör 
ténnek. 

1. Indítsuk az Ntdsutil.exe-t, és használjuk 
az új ,snapshot" parancsot, amellyel készít 
hetünk egy mentést az AD-ról, majd ezt fel is 
csatolhatjuk a fájlrendszerbe. 

2. Egy másik parancssori eszköz jön, a 
Dsamain.exe (Exchange-örökség), amellyel az 
adott példányt LDAP-szerverként tudjuk fut 


H Active Directory Users and Computers (LHDC.lhb3.local] Name Íme 7 ] Description 


(E Domain Controllers 


TA ForeignsecurityPrincipé 










There are no items to show in this viel 


ha. Idap://LHDC.lhb3.local:1389/DC-Ihb3 DC-Ilocal 

Options  Utilities . Heln 

1 Idap:/ /LHDC.lhb3.local/DC-Ihb3 DC-Ilocal 
Connection  Browse View Options Utilities Help 


Connection  Browse View 
H-DC-Iihb3,DC- local 

CN-Builtin DC-Iihb3,DC-local 

CN-Computers DC-Ihb3, DC-local 7.-DC-ilhb3 DC—local ob] 

01-Domain Controllers DC-Ihb3, DC-local tellett era Bee a GTi Ge [ast] 

7. 0U-Felhasznalok DC-Ihb3,DC-local CN-Builtin DC-lhb3, DC-local pvi 

Mo children CN-Computers, DC-Ihb3,DC-local 



































CN-—ForeignőecurityPrincipals DC-lhb3, DC-I 01-Domain Controllers DC-Ihb3,DC—local úr 
CN-Infrastructure, DC-ihb3,DC-local CN-ForeignSecurityPrincipals DC-lhb3,DC-lo e 
CN-LostándFound, DC-ihb3,DC-local CN-Infrastructure DC-Ihb3,DC-local 

CN-NTDS Guotas, DC-Ihb3,DC-local CN-LostándFound,DC-lhb3,DC-local Sy 


CN-Program Data, DC-lhb3, DC-local 
CN-System, DC-ilhb3, DC-local 
CN-Users DC-lhb3, DC-local 


CN-NTDS Ouotas DC-ihb3,DC-local 
CN-Program Data, DC-Ilhb3,DC- local 
CNsSystem DC-ilhb3, DC-local 
CN-Users DC-Ihb3, DC- local 


Két AD-példány egyszerre elérhető az Idp.exe-vel, és látszik a különbség 
is, mivel a pillanatfelvétel készítése után átneveztük az egyik csoportot! 


akkor minden további nélkül belenézhet a 

mi címtárunkba. Ezért ezeknek a példányok: 

nak a biztonságáról feltétlenül érdemes va- 

lamilyen egyéb módszerrel külön is gondos- 
kodni. 

Gál Iamás 

(v-tagak Omicrosoft.com) Microsoft Magyarország 


Microsoft TechNet 
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ÉS MINIMUM — 
A SERVER CORE 


Négyszáz megahertzes CPU? 128 megabájt RAM egy teljes 


értékű DC esetén? 5-ó gigabáit helyfoglalás egy olyan 


Windows-kiszolgálónak, amelyik jelen pillanatban 23 különböző 


kiszolgálószerepet képes ellátni? Alapesetben kevesebb, mint 50 


automatikusan induló rendszerszervizt Nem ment el az eszünk, 


és nem a Windows NI 1.0-ról van szó. Ezek a hardverkritériumok 


a Windows Server 2008 egy teljesen új típusú verziójára érvényesek. 


egy különleges változatot is tartalmaz majd, amelynek neve jelenleg (a cikk írásakor 


A Windows Server 2008-család a szokásos Standard, Enterprise és egyéb verziók mellett 


még közvetlenül a Beta 3 előtti állunk): Server Core. Különlegessége elsősorban abból 


áll, hogy 95 százalékban parancssorból működik, azaz egyáltalán nincs GUI. Elsőre ez bizto- 


san meghökkentőnek tűnik, de működik, és nem is akárhogyan. 


Előnyök és hátrányok 


Nézzük sorban, milyen előnyei vannak egy ilyen kiszolgálóverziónak: 


Az erőforrások szempontjából lényegesen gyengébb gépen is jól működik. A tesztjeink so- 
rán kiderült például, hogy egy virtuális gépben 80 megabájt RAM-mal már egy kényelme- 
sen felszerelt tagkiszolgáló is működtethető, 128 megabájt memóriával pedig egy full extrás 
tartományvezérlő is tökéletesen jól teljesít. Ha igazi vasról van szó, hasonló a helyzet, an- 
nak ellenére, hogy - szintén a tapasztalatok alapján - ilyenkor kicsit több erő kell. De nem 
sokkal, az ajánlás szerint 256 megabájt RAM elég a teljes funkcionalitáshoz. Ide tartozik a 
lemezhelyigény is, ami az alaptelepítés után a pagefile nélkül valóban nem több, mint 6 giga- 
bájt (és ebben benne van a majdnem 3 gigabájtnyi, kompatibilitási okokból az alkalmazások 
számára fenntartott Windows"Winsxs mappa tartalma is). 

Számos kiszolgáló-feladatkört képes ellátni a Server Core (erről később), de lényegesen ke- 
vesebbet, mint például egy tipikus Windows Server 2008. Ezenkívül nem lehet akármit rá- 
telepíteni, azaz léteznek a belső és a harmadik gyártótól származó programok területén is 


kemény korlátok. A , kevesebb jobb" elv alapján ez nyilván sok környezetben nagyon fontos 
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lesz, hiszen itt szintén nem kevés üzemelte- 
tési időt takaríthatunk meg. 
Becslések szerint kb. 60 százalékkal keve- 
sebbet kell a biztonsági és egyéb javítások- 
kal törődnünk, ha nincs GUI, és nincs az 
ehhez szorosan kötődő rengeteg alkalma- 
zás. Ez nyilván azt is jelenti, hogy keveseb- 
bet kell ezzel a kiszolgálóval foglalkozni a 
beüzemelés után (,,...ott lehet hagyni a sa- 
rokban ), és nincs annyi újraindítás. 
A telepítés utáni indító konfigurálás (pél 
dául TCP/IP, gépnév megváltoztatása stb.) 
mindenképpen a parancssorból történik, 
de ezután minimum háromféle módszer- 
rel vagyunk képesek távolból is felügyelni, 
üzemeltetni a Server Core-t. 
Flászmálhatjuk az MMCEC-t az RDP- és 
a Vistában, W2K3 R2-ben meglévő WS- 
Management képességet, azaz a WinRM/ 
WinRS párost, ami gyakorlatilag távoli 


parancssorként működik. Tehát nem kell 
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Itt dől el minden 


halálra rémülni a szerverkonzolon a feke- 

te háttér előtt villogó fehér kurzortól, lé- 

teznek módszerek a mindennapok felada- 
tainak elvégzésére például a rendszergazda 
gépéről is. 

a Minden WSO8-verzióban (Standard, Enter 
prise) megtalálható lesz, és egyformán hasz- 
nálható x86/x64-környezetben is. 

A teljesség és a tisztánlátás kedvéért te- 
kintsük át a hátrányokat is, mert azért sejthe- 
tő, hogy a felsorolt előnyök számos kompro- 
misszummal is járnak. 

n "Tényleg nincs GUI. Nincs Explorer, MMC, 
CLR, Shell, IE, Media Player, OE, RDP 
kliens stb. El kell gondolkodnunk azon, 
hogy hogyan lehet DNS-zónát telepíteni 
parancssorból? Hogyan lehet szintén in- 
nen felhasználót felvenni az AD-ba? Hogy 
csinálunk egy kivételszabályt a tűzfalban, 
hogyan hitelesítünk egy DHCP:szervert az 
AD segítségével, ha nincs GUI? Még sok 
ilyen kérdést fel fogunk tenni magunknak, 
de a válasz végül mindig az, hogy lehet, 
csak kicsit (ritkán nagyon) bonyolultabb. 

n Ami előny, az egyben hátrány is, azaz keve- 
sebb komponens és alkalmazás működik 
a Server Core-kiszolgálókon. Hét fő sze- 
repkör van, amelyeket ellát(hat):: DHCP, 
DNS-kiszolgáló, fájlszerver, Active Directo- 
ry, Active Directory Lightweight Directory 
Services (AD LDS, korábban ADAM), 


Print Server és Media Services. 
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Date Muoclifiec 


1/2007 


TE 





Ezek mellett azért van egy tekintélyes lis- 

tánk az egyéb szerepekről is: 

a BitLocker és BitLocker Remote Admin 
Tool; 

n Client for NES; 

n DES Server, DFS Replication; 

n Failover Cluster; 

s. FRS; 

a MultipathIlO; 


lhcore - Remote Desktop 


TT Administrator: E: (Windows Isystem321cmd.exe 
Microsoft Uindous [Wersion 6.B8.60H41] 
Copyright ) 26 Microsoft Corporation 


rt TET 3 a teztadnir 


A Server Core-ból ennyi látszik a belépés után 


FTECNNEZ 


ax Removable Storage Management; 

a Network Load Balancing; 

n [LPD Print Service; 

a NES Server, Subsystem for UNIX-based 

Applications; 

a os (OAwave); 

x Single Instance Storage; 
zi SNMP; 

n "Telnet Client; 

x Windows Server Backup; 
x WINS. 

Le kell szögezni még egyszer, hogy ez a 
Beta 3 körüli állapot, azaz még változhat, pél 
dául 2006 novembere óta kétszer is bővült a 
szolgáltatáscsomag, nem is kevés elemmel. 

Némi hátrány mutatkozik a telepítés, pon- 
tosabban a frissítés és migrálás környékén is. 
Három fontos részletről van szó: 

1. Nem lehetséges frissíteni egy korábbi 
Windows-szerververzióról. 

2. Nem járható út a , nagy" Windows Serv- 
er 2008-verziókról történő frissítés sem. 

3. A Server Core-t szintén nem lehet a 
, nagy" Windows Server 2008-ra frissíteni. 

Ezekből követke- 


zik, hogy a Server Coretelepítés csak tiszta 


értelemszerűen az 


(clean) telepítés lehet. 

Egy komoly előny viszont azonnal látszik a 
telepítésnél, ugyanis villámgyors, hozzávető- 
leg 15 perc, és kész vagyunk. Még egy fontos 


dolog: a csendes telepítés megvalósítható, a 


Windows Server (TM) Code Name "Longhorn" 
ze kie ( TT 





Microsoft TechNet 
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Server Core egy unattend.xml alapján ké- 
pes települni, azaz testre szabhatjuk (képer 
nyőfelbontás, RDP engedélyezése stb.), vala- 
mint automatizálhatjuk a telepítést például 
a BDD 2007-tel vagy önmagában (a WAIK 
részeként működő) a Windows System [Image 


Managerrel. 


Első lépések 
A telepítésben semmi extra nincs, a Vistánál 
és a Windows Server 2008-nál is tapasztalk 
ható módon alig kell hozzányúlni (a termék- 
kulcs ugyanaz lesz, mint a nagy WS0O8-nál). 

Ha kész, az újfajta egész képernyős belépé- 
si képernyőt láthatjuk. Tudnunk kell, hogy 
egyetlen működő felhasználói fiók van csak 
(ez az Administrator, persze van még egy, a 
Guest, de szokás szerint letiltva), és ennek 
sincs még jelszava. Ha belépünk, a lenti (né- 
hányunk számára elsőre valószínűleg lelom- 
bozó) látvány tárul a szemünk elé. 

Az első teendők közé tartozik tehát az ad- 
minjelszó megadása, amelyhez a legkézenfek- 
vőbb módszer a CIRLFALI:DEL, és ekkor 
azért némi vigasz gyanánt kaphatunk valami 
lyen grafikus felületet, ahol a jelszóváltoztatá- 
son kívül ki is léphetünk, vagy lezárhatjuk a 
gépet, illetve elindíthatjuk a Task Managert 
is. A gép újraindításához és leállításához is 
ide vezet az utunk. 

Egyébként csak a teljesség kedvéért a jel 
szóváltoztatáshoz a net user administrator " 
parancs is megfelelő. De vajon mi a követke- 
ző lépés? Eltaláltuk: a TCP/IP bekonfigurálá- 
sa. Persze ha van DHCP, és megfelel nekünk, 
akkor nincs probléma, de kiszolgálóknál ez 
nem így szokás, úgyhogy 
jöhet a manuális beállítás, 


de először tájékozódjunk: 


netsh interface ipv4 show 
interfaces 


Ez azért is különösen 
fontos most, mert az ered- 
ményből több adatot is 
hasznosítani fogunk a ké- 


sőbbiekben, 
adott" hálózati "kapcsolat 


például az 


pontos nevét, valamint a 
sorszámát. 
Ezután jöhet a tényleges 


konfigurálás: 


ÁPRILIS-MÁJUS 


netsh interface ipv4 set address name—2 source— static 
address —x.x.x.x mask—x.x.x.x gateway —x.x.Xx.x 


(A Name utáni sorszám a hálózati kapcsolat 
sorszáma az előbbi listából az Idx oszlop alól.) 
Persze, vissza is állíthatjuk bármikor a 


PACE 


netsh interface ipv4 set address name—2 source—dhep 


A DNSkiszolgáló beállítása kulcsfontos- 
ságú feladat: 


netsh interface ipv4 add dnsserver name—2 addressz 
X.X.X.X index—1 


(Mivel több DNSs-szerver is felvehető, az 
index adja meg a használandó DNS-szerve- 
rek sorrendjét.) 

A telepítés közben a szokásos véletlen- 
szerűen kiválasztott, hiperérthetetlen nevet 
kapja a gép, ebbe a folyamatba közben nem 
avatkozhatunk bele, utólag viszont igen, még- 


pedig az ismerős netdom paranccsal: 


netdom  renamecomputer . GepMostaniNeve /newname: 
GepUjNeve 


Felmerülhet a kérdés: hogyan derítjük ki 


a gép jelenlegi nevét. Nos, a legelső alkalom- 


mal utána kellett nézni, de aztán kiderült, 


Windows Server 


4 ÜL 12 ki : há ú 1 stat 1 ja há hag ján ; 





A mini Start menü (majdnem ugyanaz mint a Vistánál) 





hogy a: hostname Darancs működik itt ís, 
sőt a , set c" és a ,systeminfo" is. 

Ha majd letöltjük a Beta 3 publikus verzió- 
ját (a TechNet Magazin e számának megjele- 
nésekor már valószínűleg lesz ilyen), akkor 
azzal is szembesülni fogunk, hogy aktiválásra 
szorul. Erre mostanság nem is kapunk túlsá- 
gosan sok időt, a Windows Server 2008-nál 
például 3 napunk van, szóval tartozzon ez 
is az első lépések közé, mert , késő bánat, eb 


gondolat". A szükséges parancs: 


Cscript cXwindowstsystem32Aslmgr.vbs -ato 


Ha kiadjuk, hozzávetőleg 1-2 percig nem 
történik az égvilágon semmi látható, majd 
ezután diszkréten közli egy apró panelen, 
hogy sikerült. Egyébként az aktiválás állapo- 
tának kiderítéséhez a következő parancsra 


lesz szükség: 


Cscript cXAwindowstsystem$2N s mgr.vbs -xpr 


Mint szinte minden lépésnél, itt is van le- 


hetőség távoli végrehajtásra, egy másik gépről: 


Cscript cXwindowstsystem32Nslmgr.vbs 
gépnevetadministrator jelszó -ato 


Ha nem a Server Core lesz a tartomá- 
nyunk alapköve, hanem egy létezőbe szeret 
nénk beléptetni, akkor már az elején célszerű 
gondoskodni erről, mivel a felügyelet (pél 
dául a WinR.M) is feltétele ennek, vagy ha 
nem, akkor is sokkal egyszerűbb a megoldás 
(például az MMC). Ehhez gépeljük be a kö- 


vetkező parancsot: 


netdom join gépnév /domain:domain. név /vserd: 
User. neve /passwordd:? 


Ennyi. Nincs újraindítás, röpke pár má- 
södperc útán a gép a tartomány tagja. A 
user neve természetesen egy olyan felhaszná- 
lói fiók, amelynek van megfelelő jogosultsá- 
ga beléptetni a gépet a tartományba, a pass- 
wordd" pedig nem elírás, a csillag hatására 
kéri be a jelszót. 

Természetesen a Domain Admins csoport 


automatikusan tagja lesz a helyi Administra- 
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ma File Action View  Favorítes Window Help 
$ e] Hír a 31 [d 


1 E Console Roat 
a. (AS Computer Management (LHCOREJ 
a [4 System Tools 
b (BH Task Scheduler 
al Event Viewer 





(Marne 


b ai] shared Folders 

a JE Local Users and Groups 
Users 
Groups 

b Ab Reliabilíty and Performance 

ek Device Manager 
I b ÉS Storage 
Es Services and Applications 


3 Guests 
SETS IUSRS 





SE Replicator 
SE Users 





1 38 Administrators 
FE Backup Operators 
88 certificate Service DCOM Access 
7. 0 3 cryptographic Operators 
" §8 Distributed COM Users 
) dkg Event Log Readers 


1 6 Network configuration Öperators 
) dé Performance Log Users 
s Performance Monitor Users 
SE Power Users 
! 86 Print Operators 
dt Remote Desktop Users 


and GroupatGroups] 





Description 
Administrators have complete and unreg 
Backup Cperators can override security 
Members of this group are allowed to d 
Members are authorized to perform cry 
Members are allowed to launch, activatd 
Members of this group can read event I 
Guests have the same access as membe 
Built-in group used by Internet Inforrnati 
Members in this group can have some a 
Members of this group may schedule la 
Members of this group can access perfi 
Power Users are included for backwardi 
Members can administer domain printe 
Members in this group are granted the 
Supports file replication ín a dornain 

Users are prevented from making accid 








A csoportokat tekintve nincs sok különbség a , nagy" Windows Server 2008-hoz képest 


tors csoportnak a tartományba léptetés után, 
de ha mégis szükségünk lesz egy tartományi 
felhasználó helyi admin csoportba helyezésé- 


re, használjuk ezt a parancsot: 


Net localgroup administrators /add domain. neved 
User Neve 


Ellenőrzés és felügyelet 
Mint ahogyan már említettük, a felügyelet el 
látható távolból három különböző módszer- 
rel is, és igazából célszerű is ez, hiszen helyi 
eszköz viszonylag kevés van. 

A három módszer közül az egyik az RDP- 


kapcsolat, amelyet először engedélyezni kell 


kötegelt vagy egyszeri parancsokkal. Egy má- 
sik lehetséges módszer az MMC-n keresztüli 
elérés, amely azonos tartományban, megfe- 
lelő jogosultsággal semmi extra tudást nem 
igényel. 

A képről az is kiderül, hogy az újfajta, a 
Vistában már megismert Event Viewer-, Iask 
Scheduler vagy Performance Monitor-képes- 
ségeket korlátozás nélkül használhatjuk a 


Server Core esetén is. 


$(ERR 


(E Console Root 7 62Events 


N 9 
NI 
AS 


[/ 


Ha viszont nem azonos tartományban va- 
gyunk a kiszolgálóval, akkor elsőként szük: 
ség lesz erre a parancsra, ahhoz, hogy ne egy 


Access Denied sorozatba fussunk bele: 


Net use "szerver. neveled /U:VSer. neve 


A harmadik módszerhez - a Windows Re- 
mote Management/ Windows Remote Shell 
használatához - viszont célszerű azonos tar- 
tományban lenni a Server Core kiszolgáló- 
val, hiszen ekkor könnyedén használhatjuk 
például a Kerberost a hitelesítésre, ami egyút 
tal az alapértelmezés is. De mi is igazából ez 
a páros? A Windows RM komponens része a 
Windows Hardware Management szolgálta- 
tásnak, amellyel teljes körűen irányíthatjuk 
helyből vagy távolból a kiszolgálót. A szolgál 
tatás a WS-Management protokollt használ 
ja, hardveres diagnosztikát és ellenőrzést tesz 
lehetővé, és emellett a kiszolgáló szoftveres 
távvezérlésére is alkalmas a parancssorból. 
A csatlakozás tűzfalbarát módon (például 
HIITP vagy HTTPS), biztonságos körülmé- 
nyek között történhet meg, és persze többféle 
hitelesítési módszert (Basic, Digest, Kerbe- 
ros) is alkalmazhatunk. Sokan úgy gondol 
ják, hogy ez a megoldás csak a Vistákkal és a 
WSO8-kiszolgálókkal működik, pedig nem, 
a Windows Server 2003 R2-ben is benne 


-Justom Viewsyadministrative Events] 





a 3 Computer Management (LHCORE) 
a [1 System Tools 
a (2) Task Scheduler 


Level 


B Error 


Date and Time 


2007 04.22. 164307 


a kiszolgálón: 


cscript CAWindowstSystem321Scregedit.wsf /ar 0 


(4 Task Scheduler Library 

a [d Event Viewer 
a [3 Custom Views 
"F Administrative Events 

Ú§ Windows Logs 

LE Applications and Services Logs 
4 sa Shared Folders 

aal Shares 

ál Sessions 

ad) Open Files 
a JE Local Users and Groups 


NáBError 
AL Warning 
A Warning 
MM Error 

J A Warning 
AL Warning 
Error 

! ÚError 

- B Error 

Error 
Error 


2007 04.22. 16; 
2007 04.22. 164122 
2007 04.22. 16; 
2007 04.22. 1641:20 
2007 04.22. 16; 
2007 04,22. 152505 
2007 04.22. 115316 
2007 04.22. 11: 
2007 04.22. 11:51:11 
2007 04.22. 11:51:11 
2007 04.22. 112141 


De van itt egy kis trükk is, mert ez az enge- 
délyezés az RDP 6.0-s kliensekre vonatkozik 
csak (Vistán alapból ez van, XPSP2-re letölt 
hető), ha régebbi RDP-kliensről óhajtjuk ke- 


zelni, akkor: 


cscript CAWindowstystem32N S cregedit.wsf /cs 0 


Ezután csont nélkül működik, ami azért 
is jó, mert például a vágólapon keresztül is 


letámadhatjuk a Server Core-t a megfelelő 
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(E Users Id éa warning 


2007 04.22. 11:19:58 


Administrative Events 
Open Saved Log... 


Event ID 


4404 
4321 Create Custom View... 


Source 
MSDTC 
netbt 

Time-... 


41:20 
Import Custom View... 
41:20 Time-... 
NETL... 
DnsApi 
User P.., 
usbperf 
usbperf 
Perflib 
Perflib View 

MSDTC New Window from Here 


Time-,.. Refresh 


Filter Current Log... 
IE Properties 
4116 Find... 


Save Events in Custom ... 





51.13 Export Custom View... 


Copy Custom View... 





E) Groups 


a (gp Reliability and Performance Event 4404, MSDTC 


Help 





(a Monitoring Tools 
(4 Data Collector Sets 
áh Device Manager 
a (6g Storage 
él Removable Storage 
(al Disk Management 
4 §5 Services and Applications 
54 Services 
ál WMI Control 


General  Details 


Log Name: 
Source: 
Évent ID: 
Level: 
User: NA 
OpCode: Info 
More 


4 


4404 


MS DTC Trading infrastructure : the inítiakzation of the tracing imíras ) 8) atta 
nternal Information : none available, 


Application 
MSDTC 


Error 


Event Log Online Help 
m 


Event 4404 MSDTC 

-] Event Properties 

iz Copy 

led Save Selected Events... 
Ga Refresh 

Help 


Logged: 

Task Category: 
Keywords: 
Computer 











Így néz ki a Server Core Computer Management MMC-je egy Vistáról 


Microsoft TechNet 





KE CÍMLAPON 








ca. Administrator: E:(Windowsisystem321cmd.exe 


Mwinrm get winrn/config/service 
Servic 

MaxConcurrentOperations - 188 
EnumerationT imeoutms - 69888 
MaxConnections 5: 5 
Allowlnencrypted - false 
Auth 

Basic : false 

Kerberos —- true 

Negotiate - true 
DefaultPorts 

HITP - 88 

HITPS - 443 
IPyáFilter 5 x 
IPvéFilter — 3 








e 
RootSDDL 5 0:NSG:BAD:PCA;GGA; ; ; BADJCA 5 5 GR; 5 ; ER)5 : PCAU ; FA: GA ; ; 5; MDI CAU ; SA ; GUGX ; 5; ; WD) 





A WinRM aktuális beállításai 


van ez a komponens, csak telepíteni kell. 
Más kérdés, hogy egy R2 WinRM listener 
(a szerveroldali , figyelő") beállítása igen bo- 
nyolult lett, de azért használható. A WS0O8- 
kiszolgálók és a Vista esetén viszont egyszerű 
az élet, a következő paranccsal indíthatjuk a 


szerveroldalon a szolgáltatás beállítását: 


WinRM guickconfig 


Ezzel a paranccsal elindítjuk és automa- 
tikus futtatásúvá tesszük a WinRM szolgál 
tatást, beállítjuk a HITP listenert a WS- 
Management protokoll üzeneteinek fogadá- 
sára és küldésére, valamint létrehozunk egy 
tűzfalkivétel szabályt (ICP 3190) a WinRM 
szolgáltatás részére. És ennyi! Ellenőrzés gya- 
nánt győződjünk meg az alapértelmezett hite- 


lesítés típusáról: 


winrm get winrm/config/ service 


Panelelem, amelyek megmaradtak a Server 
Core-ban is. 

1. Az idő/dátum beállítása: control time- 
date.cpl. 

2. A területi beállítások: control intl.cpl 

Ezeknél talán sokkal fontosabb viszont az 
az alkalmazás, amely egyaránt megtalálható 
minden Vistán és WSO8 kiszolgálón is, az- 
az a Eseménynapló parancssoros változata, a 
Wevtutil, és amellyel láthatóan mindent el 


lehet érni, amit a GULS változattal. 


Szerepkörök, komponensek telepítése 
Fontos kérdés, hogyan tudunk alkalmazáso- 


kat és komponenseket telepíteni, illetve hogy 


e 
N/ ! 


NN 


A 


K 
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melyek állnak rendelkezésünkre akár rögtön 
a telepítés után, azaz melyeket kell gyakor- 
latilag csak élesíteni? A fontosságuk szerint 
két részre szedett listát a cikk elején már lát 
hattuk, most viszont az is kiderül, hogy a 
parancs gyakorlatilag ugyanaz mindkét cso- 


portnal"azaz a 


start /w Ocsetup 


utasítás után a megfelelő szerepkör vagy kom- 
ponens neve jön, a különbség maximum any- 
nyi, hogy a komolyabb szerepkörök nevei hosz- 
szabbak, például DNS-ServerCore-Role vagy 
File-ServerCore-Role és így tovább. Nagy se- 
gítségünkre lehet viszont az , Oclist" nevezetű 
parancs annak eldöntésére, hogy mi a szerep- 
körök pontos neve, illetve, hogy melyeket te- 
lepítettük már fel. A következő képen szépen 
látszik, hogy ez egy friss Server Core, egyedül 
a mentési komponenst telepítettük fel. 

A szerepkörök telepítésénél figyeljünk oda 
a gépelésre, mert az Ocsetup rendkívül érzé- 
keny a kis- és nagybetűk közötti különbségre. 
Itt és most nem foglalkozunk tovább egy- 
egy szerepkör élesítés utáni konfigurálásá- 


val: a TechNetblogon már esett szó (http:// 





ca. Administrator: E:(Windowsisystem321cmd.exe 


ase—-insensítive. 

ALL UPPER-CASE - VARIABLE? 

eututil COMMAND LARGUMENT [LARGUMENT 1 
ommands : 


Cenun-1ogs?) List log names. 


ou can use either the short Ci.e. ep /uni) or long Ci.e. enum-publishers /unicode) 
ersion of the command and option names. Commands, options and option values are 


- 2.1 [/OPTION: VALUE L/OPTION:UALUÚUEI ...1 


XV 
fen 





(get—1og? Get log configuration information. 
(Cset-1log?) Modify configuration of a log. 
Cenun-publishers?) List event publishers. 
Cget-publisher? Get publisher configuration information. 
Cinstall-manifest) Install event publishers and logs from manifest. 
Cuninstall-manifest) Uninstall event publishers and logs from manifest. 
ery-events) 7 mrégi events from a log or log file. 

yli (get—-1log—info) Get log status information. 

tpl (C(export-1log) Export a log. 

al Carchive-1og? Archive an exported log. 

1 C€clear-1og? Clear a log. 


Példaként nézzünk meg néhány további 
parancsot. A Server Core rendszerpartíciója 


tartalmának listázásához a következő utasí- 
onmon options: 


r:UALUE (remote) 

If specified, run command on a remote computer. VALUE is the remote computer name. 
ote, ke Cinstall-—-mnanifest?) and um (C(uninstall-manifest?) do not support remote 
operation. 


u:UALUE (username? 

Specify a different user to log on to remote computer. UALUE is a user name 
in ee domnainYMuser or user. OÖnly applicable when option /r (remote) is 
specified. 


p:UALUE (password?) 

Password for the specified user. If not specified or UALUE is "", user will be 
sa oromnpted to enter a password. Ünly applicable when /u (username) option is 

jük be ezt: specified. 


a:UALUE Cauthentication? 
tuthentication type for connecting to remote computer. UALUE can be Default. 
egotiate, Kerberos or NTLM. The default is Negotiate. 


uni:UALUE (unicode) 
display output in Unicode. VALUE can be true or false. If UALUE is true then output 
is in Unicode. 


tást adjuk ki, mondjuk, egy Vista-kliensről: 


winrs -r:http://szerver. neve dir cX 


A kiszolgáló újraindításához pedig gépel 


winrs -r:http:// szerver neve shutdown -r 


o learn nore about a specific command, type the following: 


eututil COMMAND 7? 


Visszatérve a felügyelet témakör elejére, 








meg kell említeni még egy-két helyben is hasz- 


nálható eszközt is. Ide tartozik két Control ! A Wevtutil parancsai és paraméterei 
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cx. Administrator: E:(Windowsisystem321cmd.exe 


:NInstalldocilist 


l feature. 


icrosoft-Windows-ServerCore-Package 

ot Installed:BitLocker 
Installed:BitLocker-RemotefdninTool1 
Installed:ClientForNFS-Base 
Installed:DFSN-Server 


se the listed update names with Ücsetup.exe to installuninstall a server role or optiona 


dding or removing the Active Directory role vith OCSetup.exe is not supported. It can lea 
€ your server in an unstable state. Always use DCPromo to install or uninstall Active Dír 













Installed:DFSR-Infrastructure-ServerEdition 
Installed:DHCPServerCore 

Installed:DirectoryServu ices-ADAM-—-ServerCore 
Installed:DirectoryServices-DonainController-ServerFoundation 


Installed:DNS-Server—Core-Role 
Installed:FailoverCluster-Core 
Installed:FRS-Infrastructure 
Installed:Multipathlo 


t Installed:Printing-ServerCore-Role 


ú, 

Installed :OWAUE 
Installed:ServerForNFS-Base 
Installed:SNMP-SC 
Installed:SUACore 
Installed:TelnetClient 
Installed:WindousServerBackup 
Installed:WINS-$SC 


:NInstall). 








—-——- Not Installed:Printing-LPDPrintService 


Installed:Microsoft-Windows-RemnovableStoragelílanagementCore 


Installed:NetworkLoadBalancingHeadlessServer 





Az Odlist rendkívül hasznos parancs (a képen még nem a Beta 3 komponensei látszanak) 


www.microsoft.hu/technet) vagy a hivatalos 
Server Core-blogon (http://blogs.technet. 
com/server. core/) ezekről a lépésekről. 

Ehhez a részhez még annyit kell hozzátenni, 
hogy a ,nagy" Windows Server 2008-kiszolgá- 
ló Server Managere vagy egy GULs távoli tele- 
pítés/eltávolítás jelenleg nem áll rendelkezés- 
re, és a híresztelések szerint nem is lesz ilyen 
lehetőség a végleges termékben sem. 

Van viszont egy komoly elem, amely kívül 
esik az Ocsetup hatókörén, és egyéni törődést 
igényel. Az Active Directory telepítéséről van 
szó, amely nem túl egyszerű művelet, több 
előkészületre is szükség van hozzá. Először is, 
tényleg a fix IP kell, ezenkívül a séma prepará- 
lására is sort kell kerítenünk (változás nincs, 
maradt az adprep.exe és az ismerős kapcsolók 
a DVD-ről), úgyhogy csak óvatosan: ne feled- 
jük, ez még mindig egy bétatermék, és a séma- 
bővítés visszavonhatatlan folyamat! 

Miután nem érhető el a grafikus felületű 
Dcpromo, muszáj az unattend módszert vá- 
lasztani (amit egyébként a korábbi Windows- 
kiszolgálóknál is lehetett), de érdekes lenne 
megvizsgálni, mennyien éltek/élnek ezzel a 
lehetőséggel? Szóval össze kell kalapálnunk 
egy szövegfájlt, amely az ismert módon vezé- 
relni fogja a telepítést, parancssori indítással. 
Egy példa egy szűkre szabott, de telepítésre 


tökéletesen alkalmas szövegfájlra: 


[DCInstall] 
AdministratorPassword — 


1. 


AllowAnonymousAccess — No 
AutoConfigDNS — Yes 

CreateOrJoin — Join 
(riticalReplicationOnly — Yes 
DisableCancelForDnslnstall — Yes 
DomainNetBiosName — xxx 
RebootOnSuccess — Ves 
RemoveApplicationPartitions — No 
ReplicaDomainDNSName — xxx.yyy 
ReplicaOrNewDomain — Replica 
ReplicationSourceDC — zzz.xxx.yyy 
SafeModeAdminPassword — 
UserDomain — xxx.yyy 

UserName — Administrator 
Password — 


Ezután már csak egy további teendőnk 


akad az indító barames kiadása: 


Dcpromo /vnattend:fájlneve.txt 


A szövegfájlba felvehető paraméterekről a 
vonatkozó Windows Server 2003-dokumen- 
tumból tájékozódhatunk  (http:/ftinyurl. 
com/2nbg95). 


Egyéb alkalmazások és 
a meghajtóprogramok 
Nem sok egyéb alkalmazásunk van az eddig 
említetteken kívül, de ezek közül ami fontos, 
az például a Notepad (ami csak Beta 2-ben 
került bele, és csak a Beta 3-ban fog működ- 


TES E 
AS 


ni a Save/Save As) és az Open parancs ren- 
desen, valamint például a Regedit.exe, ami 
szintén , újfiú", ugyanis eddig csak az import 
működött. Az Error Reporting (serverwer- 
optin.exe) szintén rendelkezésre áll, és van 
egy alkalmazásunk a biztonsági frissítések 
telepítéséhez (Wusa.exe), amely az .msu kiter- 
jesztésű csomagokat kezeli. 

Van viszont egy olyan apró, ám multifunk- 
ciós megoldásunk is - a SCRegEdit.wsf nevű 
szkript -, amely megtalálható a MWindowsN 
System32-ben. 

A segítségével engedélyezhető az AU-kliens, 
az RDP-elérés (korábban már szó volt erről), a 
távoli IPSec Monitor management, és például 
a DNS-rekordok prioritásszabályzásához is kö- 
ze van. Valamint a /cli kapcsolója az összes, a 
Server Core-ban használható parancssori esz- 
köz lehetőségeit kilistázza. 

A korábbi példákban már láthattuk is en- 
nek a scriptnek a használatát. 

Végül legyen szó egy szintén kritikus te- 
rületről, azaz a driverek telepítéséről, bár a 
tapasztalatok szerint a hardverek felismeré- 
sével és illesztésével abszolút nincs gond. De 
ha mégis, akkor a következő módszer szerint 
járjunk el: 

1. Másoljuk be a meghajtóprogramot egy 
jappab a 

2. Pnputil ii -a mappa nevexxdriver?.inf 

3. Újraindítás (nem mindig szükséges) 

A jelenlegi meghajtóprogramok listázásá- 
hoz a következő régi ismerős parancsra lesz 


szükség (a szóköz a , driver" előtt szándékos): 


sc gvery type— driver 


A szolgáltatások vezérléséhez szintén az sc 
parancs a megoldás, például egy szerviz indí- 


tása történhet így is: 


Sc config , RemoteRegistry" start— auto 


Mint látható, a Windows Server Core 
mindenképpen érdemes lesz a figyelmünk- 
re, hiszen biztonságosságának, egyszerűségé- 
nek és alacsony gépigényének köszönhetően 
számtalan esetben lehet, hogy ezt fogjuk vá- 
lasztani a teljes Windows Server 2008-válto- 
zatok telepítése helyett. 

Gál Iamás 


(v-tagal Omicrosoft.com) Microsoft Magyarország 
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WINDOWS SERVER 
VIRTUALIZATION 





Egy közel száz kilobájtos kis réteg van készülőben 


— egy mikrokernel, amelyik képes az erőforrások (memória, 


processzor stb.) megosztására több operációs rendszer között. 


Mindezt a Windows Server 2008 egy szerepköreként kapjuk meg, 


gyakorlatilag teljesen ingyen. A szervervirtualizáció új generációja 


ez: a Windows Server Virtualization! 


virtualizáció már közel 30 éve jelen van a mainframe-rendszereken, azonban csak ! különféle szolgáltatásokat minél kevesebb fi- 


néhány éve jelentek meg az első virtualizációs technológiák az x86-os platformra. A ! zikai vasra központosítani, és azok skálázha- 


mainframe-ek esetében az elsődleges cél a szoftverek visszafelé kompatibilitásának ! tóságát és rendelkezésre állását biztosítani. 


megőrzése volt, hogy a virtuális környezetekben akár évtizedekkel korábban elavult megoldá- A szolgáltatások folyamatos működésé- 


sok is futhassanak. Később egyre inkább teret nyertek a virtualizáció más irányú felhasználási ! nek biztosítása. A cél itt igencsak egyszerű: 


módjai is, például az erőforrások egy fizikai gépen belüli elosztása a virtualizált operációs rend- ! szeretnénk minimalizálni mind a tervezett, 


szerek között. 


mind a be nem tervezett rendszerleállások 


Az x86-os platformon is hasonló volt a helyzet - elsőként a desktop-virtualizációs megol ! idejét. Minél kevesebbszer álljon le a rend- 


dások jelentek meg, majd rohamosan fejlődni kezdett a szervervirtualizáció is. Majd - ahogy ! szer, de ha le is áll, gyorsan helyre tudjuk 


egyre többet tudtunk meg a virtualizáció lényegéről - a Terminal Services alapú megoldások 1! aztállítani. Virtualizációval mindez könnyen 


is részben ide kerültek (megjelenítésvirtualizáció). Mára minden virtualizálható: a hálózat, a ! megvalósítható, hiszen mind a fürtözésre, 
tárolórendszerek (például az iSCSD) de akár az alkalmazások is (például a SoftGrid). 


Nem meglepő ez a tendencia, hiszen egyre nagyobb az igény 
a rugalmasan változtatható informatikai rendszerek iránt. A 
virtualizáció talán legfontosabb célja ugyanis az, hogy rend- 
szerünk összetevőit minél inkább elszigeteljük egymástól, és 
lehetővé váljon ezeknek az építőkockáknak a tetszés szerinti 


mozgatása, cseréje, frissítése. 


A szervervirtualizáció lehetőségei 
Koncentráljunk most egy kicsit a szervervirtualizációra! Mire 
is jó ez nekünk? Milyen problémákra ad választ? Ha valaki 
még nem foglalkozott szervervirtualizációval, érdemes végig- 
gondolnia az alábbi felhasználási lehetőségeket. 
Szerverkonszolidáció. A szerverhardverek a legritkább eset 
ben vannak folyamatosan kiterhelve a lehetőségeik határáig. 
Minden szolgáltatás máskor és eltérő mennyiségű számítási 


teljesítményt, illetve erőforrásokat igényel. Érdemes ezeket a 
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mind a virtuális lemezek és gépek replikáció- 
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jára és mozgatására is számtalan megoldás áll 
rendelkezésünkre, amihez egészen kényelmes 
rendszerfelügyeleti megoldások is elérhetők 
már. 

Dinamikus adatközpont. Lehetőségünk 
vanlartasis, hogyaz egy vasta konszolidált 
operációs rendszerek, illetve szolgáltatások 
között rugalmasan mozgathassuk az erőfor- 
rásokat, például a rendelkezésre álló memó- 
riát, illetve a számítási kapaci- 
tást. Ha több szerverünk van, 
igény szerint másolhatjuk vagy 
pedig mozgathatjuk köztük a vir 


tualizált gépeinket is. 


Monolithic hypervisor 


Simpler than a modern kernel, 
but still complex 


Contains its own drivers model 


Fejlesztési és tesztkörnyezet. 
Könnyen építhetünk olyan vir 
tuális tesztkörnyezeteket, ame- 
lyeken kipróbálhatjuk az új 
szoftverváltozatokat: mennyire 
fognak helyt állni valós rend- 
szerünkben. Ezeknek a virtuális 
környezeteknek nem kell külön 
fizikai szerverekre kerülniük - 
elférhetnek a már használatban 
lévő szervereken is, és mivel csak 
a teszt idejére van rájuk szük 
ség, így erőforrásigényük is csak 
ideiglenes. A virtualizációnak köszönhetően 
tökéletesen izolálhatjuk a tesztrendszereket 
a valódiaktól (egy hardveren belül is), de 
ha pont ennek az ellenkezőjére van szüksé- 
günk (például egy migráció tesztelésekor sze- 
retnénk elérni az aktuális rendszert is), az is 
könnyen megvalósítható. 

Sokan persze már csak mosolyogva legyin- 
tenek, olvasván ezeket a sorokat, hiszen már 
ismerik a ma elérhető megoldásokat, és hasz- 
nálják ís azokat, köztük a Microsott Virtual 
Server 2005 R2-t, vagy például a VmWare 
megoldásait. 

Nekik már sokkal gyakorlatiasabb problé- 
máik vannak: a virtualizált rendszerek telje- 
sítménye, az emulált és virtualizált hardverek 
használhatósága, a biztonság kérdése, a mi- 
nél alaposabb izoláció és az egyszerű kezelhe- 


tőség és menedzselhetőség kerül előtérbe. 


Tervezési szempontok 
A Windows Server Virtualization tervezése- 
kor a korábbi céllal (a visszafelé kompatibi 
litás megvalósításával) szemben további, új 
szempontok is előtérbe kerültek. 

Az első szempont az volt, hogy a rendszer 


a lehető legnagyobb biztonsággal működjék. 


ya 


Legyenek a különféle virtualizált rendsze- 
rek és a virtualizációt végző infrastruktúra 
egymástól teljesen elszigetelve, izolálva: ne 
érhessék el a virtualizált rendszerek egymás 
adatait, memóriáját; ne tudják egymás elől 
elvenni a rendelkezésre álló számítási kapaci 
tást, hanem azt az infrastruktúra ossza meg 
köztük. A biztonság elérése érdekében az is 


fontos, hogy minél kisebb legyen a virtua- 


TCB 
No third-party code 


Drivers run within guests 


Virtual- 
ization 
Stack 


Hypervisor 





A monolitikus és a mikrokernel alapú hypervisor közti különbségek 


lizációs réteg kódja. Ez a réteg ugyanis min- 
denhez hozzáfér, és mindenhez van joga. A 
lehető legkisebbre kell csökkenteni a mére- 
tét, ezzel csökkentve egyúttal a támadási fe- 
lületet is. 

A biztonság után legfontosabb szempont 
ként a megbízhatóság állt: a virtualizációs ré- 
teg hibája vagy leállása ugyanis valamennyi 
azon futó virtuális gép leállásával jár együtt! 
Elég akár egy egyszerű rendszer-újraindításra 
gondolnunk. Virtualizáció nélkül egyetlen 
gép leállása csak egy adott szolgáltatás leállá- 
sát eredményezi. Egy 20 virtuális gépet futta- 
tó vas leállása miatt azonban mind a 20 szol 
gáltatás azonnal leáll. Nagyon fontos tehát, 
hogy a rendszer minél megbízhatóbb legyen, 
másrészt legyen képes magas rendelkezésre 
állásra abban az esetben is, ha valamiért még- 
is leállás következik be. Többek között ezért 
is jár annyira kéz a kézben a virtualizáció és 
a fürtözés. 

A fokozottabb megbízhatóság érdekében a 
Windows Server Virtualization az egyszerű- 
ségre törekszik. Ennek legfontosabb eszköze, 
hogy egyértelműen meghatározott, egymás- 
ra épülő rétegekre osztott a felépítése, és az 


ezek közti kommunikációs kapcsolatok szá- 


Microkernelized hypervisor 
Simple partitioning functionality 
Increase reljability and minimize 


NN 


b 
[a 


ma alacsony, működésük a lehető legegysze- 
rűbb. A hardverhez legközelebb eső rétegek 
(ezek rendelkeznek a legtöbb jogosultsággal) 
a lehető legkevesebb feladat elvégzésére ké- 
pesek. Ezért maga a hypervisor egy nagyon 
apró mikrokernelként jött létre (ezzel később 
részletesen foglalkozunk), és kizárólag azokat 
a funkciókat tartalmazza, amelyekhez tény- 
leg szükség van a legmagasabb jogosultsá- 

gokra, illetve néhány olyan apró 


funkciót, amely az optimális tel 


Moaonolthic ve Microakarnalizad Hwynarvwiceor 


jesítmény eléréséhez teljességgel 
elengedhetetlen. Minden más a 
hypervisor fölött, a partíciókban 
fut - ezt virtualizációs réteg (vir- 
tualization stack) néven fogjuk a 
jövőben emlegetni. 

Lényeges az eltérés például a 
VmWare ESX szerverhez képest, 
amely a minél nagyobb teljesít 
mény érdekében további driver- 
eket és hardveremulációt is a 
hypervisor szintjére helyezett el 
- ez a monolitikus hypervisor- 
megközelítés. Ami azonban nö- 
veli a támadási felületet, növeli 
a leállások kockázatát (gondol 
junk csak a hibás driverekre!), és gyakorla- 
tilag teljes ellentétben áll a Microsoft által 
is képviselt minimalista, mikrokernel ala- 
pú hozzáállással szemben - mindezt néhány 
százaléknyi teljesítményért cserébe. A nyílt 
forrású hypervisor, a Xen is a Microsoft ál 
láspontját osztja ebben a kérdésben, emiatt 
a két megoldás igen sok ponton képes lesz 
együttműködni - de erről még szintén lesz 
szó a későbbiekben. 

A harmadik szempont a skálázhatóság volt 
- elérni, hogy a Windows Server Virtualiza- 
tion gyakorlatilag akármekkora gépen, tet 
szőleges méretű és számú virtuális gépet is ké- 


pes legyen optimális teljesítménnyel kezelni. 


Követelmények és határok 

A Windows Server Virtualization a követke- 

zők meglétét igényli: 

a x64-es WSOS8 Standard, Enterprise vagy 
Datacenter Edition, akár teljes, akár Core 
valtozatban asszülóparticióta; 

n x64-es 


vagy AMD Pacifica hardveres virtualizáció- 


processzor, Intel Virtualization 


támogatással; 
a hardveres DEP, azaz Data Execution Pre- 


vention (Intel XD/AMD NX). 


Microsoft TechNet 
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És amire képes: 

n 64 és 32 bites virtuális operációs rendsze- 
rek kiszolgálása (vegyesen is akár); 

a akár 8 processzormag hozzárendelése bár 
mely virtuális géphez; 

m 2 terabájt memóriát oszthatunk szét a vir- 
tuális gépek között; 

m tetszőleges számú virtuális gép futtatása 


(csak a hardverünk szab határt, nincsenek 


kódolt limitek). 


Részletesebben az alábbi táblázatból tájé- 
kozódhatunk: 


WS08 WS08 WS08 
Standard Enterprise — Datacenter 
xó4 Edition . xó4 Edition  xó4 Edition 
A támogatott 
fizikai 1—4 1-8 1—64 
processzorok PIrOCESSZOr —— DITOCESSZOT  PrOCESSZOT 
száma 
A maximálisan 
támogatott 32gigabájt 2terabájt 2 terabájt 
memória 
Virtual 
Machine Líve Nem Igen Igen 
Migration 
BET ; em Igen Igen 
tamogatas 


Az architektúra 

A Windows Server Virtualization egy tel 
jesen 64 bites, mikrokerneles hypervisor 
alapú virtualizációs 


megoldás. A 64 bit 


alapú) virtualizáció egy vékony réteget helyez 
el egy futó operációs rendszer (host) és a vir 
tuális gépek (guest) között. Minden hardver- 
rel kapcsolatos művelet keresztülhalad egy- 
részt a virtualizációs rétegen, majd magán a 
hostoperációsrendszeren is, jelentős teljesít 
ménycsökkenést eredményezve. 

A modernebb, de még 
szintén erre a megoldásra 
épülő, úgynevezett hibrid 
virtualizációs technológiák 


esetében a virtualizációs ré- 


Virtualization Stack 


teg az operációs rendszerrel i 
VIN RTOVIGET 


majdnem egy szinten talál VIT 
Service 

ható meg, és a hardverhí- 

vások többségét igyekszik 


eiaeyaágge 


minél közvetlenebb úton 


Windows 
Kernel 


továbbítani a tényleges 
hardverekhez az operációs 
rendszer kihagyásával. 
Erre jó példa a Virtual 
Server 2005 esetében a Vir 
tual Machine Additions 
csomag, ami amellett, hogy átjárhatóvá te- 
szi a virtuális guest és a host gépeket (egér- 
kurzorintegráció, időszinkronizáció stb), a 
rendszer teljesítményén is javít azáltal, hogy 
még bootolás során egy driver segítségével át 
írja a rendszerhívások tábláját néhány (közel 
6) ponton, hogy a leginkább hardverintenzív 
hívások teljesítménye virtualizált környezet 


ben se lassuljon le számottevően. 


Mirtiral Sarvar NE PR?2: Architactiira 


talán egyből érthe- 
tó viss báró TOSTÓR E PNT T eis 


két dolgot is jelent: 


. Virtual Server 


egyrészt a virtualizá- 
WebApp 


ciós réteg a 32 bites 
rendszerekkel szem- 
ben sokkal nagyobb 
memóriához fér 
hozzá, másrészt le- 
hetőségünk van fut 
tatni 32 és 64 bites 
virtuális operációs 
rendszereket, akár 
vegyesen is. No de 
mi az a hypervisor? 
Ennek  megértésé- 
hez először érdemes visszatekinteni egy kicsit 
a Virtual Server 2005-re. 


Kétféle virtualizációt különböztetünk meg 


egymástól. A hagyományos (type 2 vagy host 
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A Virtual Server 2005 képes több mint 
ezer különféle operációs rendszer futtatásá- 


ra, méghozzá azok bármiféle módosítása nélk 


kül. Ahhoz, hogy ez működjön, el kell hitet 
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nie a virtualizációt végző rétegnek a virtuális 
operációs rendszerrel, hogy ő valóban teljes 
egészében kernel módban fut (ring 0), holott 
valójában a hostoperációsrendszeren, Guest 
Kernel módban (ring 1). Ezt az emulációt 
nevezzük Ring Compressionnek, amit a ker 


nel módban futó Virtual Machine Monitor 
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A Windows Server Virtualization felépítése 


(VMM) végez: a VMM figyeli a virtuális ope- 
rációs rendszereket, és biztosítja, hogy azok 
ne csinálhassanak semmi butaságot (ne fér 
hessenek a virtuális rendszerek hozzá más 
virtuális gépek, vagy akár a host gép memóriá- 
jához, adataihoz). Ez természetesen szintén 
csökkenti a rendszer teljesítményét, de hard- 
veres virtualizációtámogatás nélkül más meg- 


oldás jelenleg nem létezik erre a problémára. 


A hypervisor 

Ezzel szemben a hypervisor alapú megvaló- 
sítás (type 1 virtualizáció) esetében a virtua- 
lizált gépek és a hardver között semmi más 
nem áll, mint maga a hypervisor: egy vékony 
réteg, gyakorlatilag egy mikrokernel, ami 
közvetlenül a hardveren fut, nincs szüksége 
hostoperációsrendszerre a működéshez. A 
Windows Server Virtualization felépítésére 
is ez jellemző. A hypervisor felel a virtualizált 
gépek futtatásáért, valamint azért, hogy szá- 
mukra teljesen elszigetelt partíciókat alakít 
son ki az általunk beállított hardvereszközök, 
memóriaméret, számítási kapacitás, hálózati 
kártyák és egyéb beállítások alapján. 

A Windows Server Virtualization kihasz- 
nálja a hardveres virtualizációs megoldáso- 
kat, emiatt nincs többé szükség a Ring Com- 
pressionre. Miért is kellett a Ring Compres- 
sion? Azért, mert a virtuálizációs réteg és a 


virtualizált gépek nem futhatnak egy ringben 


ya 


XV 
d 











E CÍMLAPON 






(biztonsági és izolációs okok miatt - hogy ne 
érhessék el egymás adatait közvetlenül), vi- 
szont az emulált operációs rendszereknek azt 


kellett hinniük, hogy ők valójában a O-s ring- 
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A szülő- és gyerekpartíciók viszonya 


ben futnak. Mi lenne az ideális megoldás? Ha 
a virtualizációt végző réteg a -1-es ringben 
futna. A hardveres virtualizáció pedig ezt te- 
szi lehetővé: nincs szükség többé emulációra, 


és a teljesítmény sem romlik miatta. 


A szülőpartíció 
A Windows Server Virtualization esetében 
továbbra is van egy kiemelt jelentőségű virtuá- 
lis gép - vagy más néven partíció -, de ennek 
a neve ezentúl szülő- (parent) partíció, és nem 
host. Ennek az az oka, hogy megváltozott a 
szerepe is. A szülőpartíció 
felelős valamennyi hardver 
és erőforrás kezeléséért, és 
ez végzi el a további partí- 
ciók létrehozásával, törlésé- 
vel, felügyeletével kapcsola- 
tos teendőket. 
Gyakorlatilag a szülöpat 
tíció amellett, hogy egy tel 
jes értékű operációs rend- 


szer, egyben a vékonyka hy- 


StorPort 


pervisorréteg kiterjesztése lalezdgs 


ISS itttalálhatóaz a vitte 
lizációs réteg, amit koráb- valál 
ban már említettünk. 
Miért előnyös ez? A driv- 
erek miatt! Ezzel a megol 
dással ugyanis nincs szükség speciális, vir- 
tualizációs driverek írására, hanem bármi 
lyen driver, amelyik felmegy a szülőpartíció- 
ra, egyben elérhetővé válik a többi partíció 


(virtuális gép) számára is! 


2 2 
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sza Virtual Storage 


StorPort 


A szülőpartícióra kizárólag Windows Ser- 
ver 2008 telepíthető (Standard, Enterprise 
vagy Datacenter), de az akár Core változat is 
lehet. Ha a teljes Windows Server 2008-at te- 

lepítjük, akkor akár erről 
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a partícióról közvetlenül 
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menedzselhetjük valameny- 
nyi virtális gépünket egy 
MMC:s grafikus felületről, 
azonban ezzel csökkentjük 
a teljes rendszer teljesít 
ményét és biztonságát. Ha 
viszont Windows Server 
e Coret telepítünk, akkor 
igaz ugyan, hogy a rend- 
szer felügyelete csak távol 
ról valósítható meg, de egy 
nagyon kicsi, erőforrásokat 
önmagában nem nagyon 
igénylő operációs rendszert 
kapunk, ami sokkal biztonságosabb, és vala- 
mennyi Windowsra írt drivert képes futtatni 
egyben. A Microsoft ajánlása az, hogy a szü- 
lőpartíció lehetőség szerint Core legyen. 
Könnyen észrevehető, hogy csakúgy, mint 
a host gép esetén, a szülőpartíció is SPoF-ként 
(Single Point of Failure) viselkedik, vagyis ha 
az leáll, valamennyi virtuális gépünk is leáll 
egyben. Ennek kivédése érdekében érdemes 
fürtözni azt egy másik fizikai géppel, amelyen 
szintén egy Windows Server Core szülőpartí- 


ció található meg, valamint minden futtatott 
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A hardvermegosztási alrendszer architektúrája 


virtuális gép replikált változata is megtalál 
ható rajta. Ez a megoldás gyakorlatilag ana- 
lóg a Virtual Server 2005 R2 host clustering 
megoldásával. Viszont a fürtözés a Standard 


Windows Serverben nincs benne, ezért ezt 


a technikát csak Enterprise vagy Datacenter 
változatokkal használhatjuk. 

A szülőpartíció teljesen ugyanúgy viselke- 
dik, mint bármely más operációs rendszer. 
Ugyanúgy lehet patchelni is, akár Microsoft 
Update, WSUS vagy SMS segítségével. 


A hardvereszközök megosztása, 
emuláció 

A hagyományos eszközemulációs megoldás 
nem éppen gyors, és nem is igazán skálázha- 
tó nagyobb rendszerek esetén, különösen, ha 
például 20 virtuális gépünk fut párhuzamo- 
san egy vason. A Windows Server Virtuali- 
zation új hardvermegosztási architektúrája 
azonban választ ad erre is. 

Mivel esélytelen elvárni bárkitől is, hogy 
emulációs drivereket fog készíteni régebbi 
hardverekhez a Windows Server Virtuali- 
zationhöz, ezért - mint korábban kifejtet 
tük - a szülőpartícióra telepíthető drivereket 
használja az összes többi virtuális gép is. Az 
ehhez szükséges infrastruktúrához tartozik 
hozzá az alábbi három technológia. 

Virtualization Service Provider (VSP). A 
szülőpartícióban fut - ez kommunikál a tény- 
leges driverekkel, és osztja meg azt a virtuális 
gépekkel, multiplexerként működve. Például 
ha van egy fizikai hálókártyánk, amelyet 10 
virtuális gép között szeretnénk megosztani, 
akkor a szülőpartíción található hálózati VSP 
elérhetővé fogja tenni azt a kártyát az olyan 
virtuális gépek számára, amelyeket beállítot 
tunk, és mindegyik képes lesz egy időben 
használni azt. A Microsoft virtualizációs csa- 
pata már fejleszti azokat az általános hálózati, 
tárolóeszköz-, bemeneti és video-VSP.ket, ame- 
lyekkel tetszőleges eszközt tudunk megosztani 
egyszerűen driverük telepítésével a szülőpartíi- 
cióra a többi virtuális gép között. A VSP-k te- 
lepítése automatikus a szülőpartícióra, amint 
engedélyezzük rajta a virtualizáció szerepkört. 

Virtualization Service Client (VSC). Ezek 
a komponensek a gyerekpartíciókon futnak, 
és szintetikus eszközökként teszik elérhető- 
vé azokat a hardvereket, amelyeket a szülő- 
partícióra telepítettünk, és megosztottunk 
az adott gyerekpartícióval. Minden gyerek- 
partíción megtalálhatóak ezek a VSC-kom- 
ponensek, annak megfelelően, hogy milyen 
VSP-ket szeretnénk használni rajtuk (párban 
vannak). A VSC-k telepítése nem automati- 
kus, az Integration Components telepítésével 


együtt kerülnek fel a virtuális gépünkre. 
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Szintetikus eszközön azt értjük, hogy egy 
hálókártya nem , DEC/Intel Ethernet Card" 
ként, hanem , Microsoft Virtual Network 
Adapter"-ként jelenik meg. Ez azon kívül, hogy 
egy általánosabb név, azt is jelenti, hogy nem 
valóban létező hardvereszköz képességeit emu- 
lálja a VSC-VSP páros, hanem lehetőség van 
arra, hogy egy fizikai eszköz lehetőségeit mesz- 
sze túlszárnyaljuk ezzel a megoldással, akár új 
képességeket fejlesszünk ki hozzá. (Erre látha- 
tunk egy példát a tárolóeszközöknél.) 
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Xen alapú Linuxok és a Windows Server Virtualization együttműködése 


VMBus. Egy olyan, memórián keresz- 
tül működő, nagyteljesítményű sínrendszer, 
amelyik a partíciók közötti adatkommuni- 
kációért felelős. Ezen keresztül kommunri 
kálnak egymással a VSC-k, illetve a VSP-k, 
de a hypervisor maga nem érhető el ezen ke- 
resztül. A VMBus nem emulált hardverként 
viselkedik, és nem is jelenik meg a szinteti- 
kus eszközök sínrendszereként a hardverek 
között az eszközkezelőben. 

Ezek a megoldások nagyban növelik a vir 
tualizált rendszerek teljesítményét, különö- 
sen az IO alrendszerrel kapcsolatos művele- 
tek esetén, és lehetővé teszik olyan eszközök 
megosztását és virtualizálását is, amelyekre 
korábban nem volt mód. Mégis, joggal merül 
het fel a kérdés: ezek szerint minden eszköz- 
emuláció megszűnt? Nincs rá többé szükség? 

A válasz: nem. Továbbra is szükség van 
hardveremulációra. Mivel egyetlen operációs 
rendszer sem tartalmazza alapból a VSC- 
komponenseket (még a Windows Server 
2008 sem!), ezért legalább a virtuális gé- 
pek telepítésének idejére szükség van hard- 
verek emulálására. Emiatt továbbra is ezer- 
nél több marad a támogatott és telepíthető 


operációs rendszerek száma Windows Server 
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Virtualization alapokon is. Hasonló módon 
a bootolás korai szakaszában is szükség van 
az emulált eszközökre, hiszen a VSC-k csak 
egy kicsivel később töltődnek be és aktiválód- 
nak. Amint a VSC-k betöltődnek, teljesen át 


veszik az irányítást az emulált eszközöktől. 


Mi a helyzet a Linuxokkal? 

Mivel rengetegen kérik, hogy a Microsoft vir 
tualizációs megoldásai ugyanolyan jól támo- 
gassák a Linux operációs rendszereket, mint 
a Windowsokat, ezért nem 
lenne megfelelő megoldás, 
ha Linux alatt csak emulált 
eszközök lennének elérhe- 
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em. tőek. A XenSource ezért a 


Microsofttal kötött partneri 


Windows 
virtualization 
megállapodásának értelmé- 


ben elkészíti a VSC-k linu- 


xos változatait a legelterjed- 


J MS/XenSource 
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tebb Linuxdisztribúciókra 
is (egyelőre Novell Suse és 
Red Hat), ezáltal Linuxokon 
is elérhetőek lesznek a nagy- 
sebességű szintetikus  esz- 
közök a VSP-ken és a VM- 
Buson keresztül. 

Ráadásul, mivel a XenSource által készí- 
tett, szintén mikrokernel és hypervisor alapú 
virtualizációs megoldás nagyon hasonló fel 
építésében és koncepciójában a Microsoftféle 
Windows Server Virtualizationhöz, és mind- 
két cég megoldásai használják a VHD fájlfor- 
mátumot a virtuális gépek lemezeihez, ezért 
a Xen és a Windows Server Virtualization 
között a virtuális gépek cseréje meglehetősen 


egyszerűnek ígérkezik. 


USB, hang, videó és a BIOS 


Érdekes kérdés, hogy vajon mi a helyzet az 
olyan egzotikumokkal, mint például az USB- 
eszközök, a hangkártyák vagy a 3D grafikus 
kártyák. Nézzük őket szépen sorjában! 
Egyelőre a virtualizációs csapat nem fejez- 
te be a teljeskörű USB-támogatást, így az a 
Windows Server Virtualization első változatá- 
ban nem lesz elérhető. Azonban mivel a virtuá- 
lis gépeket mostantól RDP-n keresztül lehet el 
érni (a VMRC a továbbiakban már nem op- 
ció), lehetőségünk van akár smartcardok, akár 
USB-s tárolóeszközök használatára is a hagyo- 
mányos RDP-kapcsolat beállításain keresztül. 
Hasonló a helyzet a hangkártya esetén 


- bár a szervereken ritkán van szükség hang- 
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kártyára, és a Windows Server Virtualization 
nem is emulál jelenleg hangkártyát a virtuá- 
lis gépeken, az RDP képes emulálni a hang- 
kártyát a kapcsolat idejére. 

A grafikus kártya kérdése sem teljesen egy- 
értelmű - mert nem szokás ugyan szervereken 
3D-grafikát használni, és általában egyszerű, 


2D-kártyákat találunk a szerverekben, mégis 
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szükségünk lehet például egy Aero felülettel 
rendelkező Windows Vista virtualizálására és 
megfelelő megjelenítésére is. Maga a Windows 
Server Virtualization ugyanazt az 53 Irio kár 
tyát emulálja, mint a Virtual Server, azonban 
ha egy Aero-képes Windows Vistáról RDP- 
ZAK  tadégy  vittúális ! Vistára sakkot tosjuk 
tudni használni a virtuális gépen is az Aerót. 
Azáltal, hogy a VMRC protokollt nem 
használjuk a továbbiakban, felmerül még pár 
apróság: például hogyan érjük el a virtuális 
gépek BIOS-át? A válasz: sehogy. Nincs töb- 
bé mód a BIOS hagyományos elérésére, vi- 
szont helyette minden beállítás elérhető a 
Windows Server Virtualization MMCjjén ke- 
resztül. Ugyanilyen módon tudjuk beállítani 
a bootolandó eszközök listáját, sorrendjét is, 
és bootolhatunk akár lokális lemezről, USB-, 
firewire-, SAN- és NAS-eszközökről is. 


Menet közbeni bővítés 

A Windows Server Virtualization alatt futó 
virtuális gépekhez futás közben allokálha- 
tunk további memóriát, processzormagokat, 
tárolóeszközöket, illetve hálózati kártyákat is. 
Ehhez azonban ezt a gyerekpartíción futó ope- 
rációs rendszernek is támogatnia kell. A szü- 
lőpartíció, mivel csak Windows Server 2008 
lehet, nem okozhat problémát, az mindegyik 
bővítési módszert támogatja. A XenSource 
megállapodásnak köszönhetően a virtualizált 
Linuxok is képesek lesznek a menet közbeni 
bővítés használatára, de ez kernelverziónként 
és disztribúciónként változó. 

Az eszközök menet közbeni eltávolítására 
is van lehetőség hálózati csatolók és tároló- 
eszközök esetében, azonban a processzorma- 
gok és a memória eltávolítását a Windows 
Serverek jelenleg nem támogatják - de ennek 


megoldására is léteznek kerülőutak. 


Processzorok, memóriakezelés 

A Windows Server Virtualization 1, 2, 4, il 
letve 8 processzormag hozzárendelését támo- 
gatja egy adott virtuális géphez. A virtuális 
gép nemcsak azt látja, hogy hány magot ad- 
tünk neki azzal ís pontosan tisztában van, 
hogy az hány ftízikai próccsszorhoz tartozik. 
Erre feltétlenül szükség volt, hiszen a licen- 
celési kérdések esetében sokkal kedvezőb- 
ben járunk így egyes gyártókkal, például a 
Microsofttal is, amelyek továbbra is procesz- 
szorszám és nem processzormagszám alapján 


licencelik termékeiket. 
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FT Totas——————————————————] [Physical Memory (K) 
Handles 7416 Total 4193024 ine ! 
Threads 437 ] Available 3717476 GBd 
Processes 32 System Cache 152580 

" Commit Charge (K) ) 7 Kernel Memory (K) 
Total 329668 ! Total 47776 


Limit 8559224 ! ! Paged 19612 




















(Commit Charge: 321M / 8358M 
Wworkgroup: 


IProcesses: 32 ÍCPU Usage: 3 [ő 


WORKGH 





Windows Activation 
Windows is activated 
Product ID: 78441-006-0006305-70879 


(E) Windows Task Mana... (A System 
k.e.e —.—.———15]5-]52mMSOÚ7$[$.05..-—1U—.r—..—————ee.————— 
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Egy négymagos virtuális gép Windows Server 
Virtualization alatt 


See also 
Windows Update 








Azon túl, hogy a Windows Server Virtuali- 
zation szinte korlátlan mennyiségű memóriát 
képes használni, megjelent néhány újabb ké- 
pesség is a rendszer részeként. 

Az egyik ilyen újdonság a Page Sharing 
technológia, amelynek révén a virtuális gé- 
pek között lehetővé válik az azonos memória- 
lapok megosztása. Ez azonos operációs rend- 
szerek esetén rendkívül sokat segíthet, hiszen 
ugyanazt a kernelt és nagyjából ugyanazokat 
a rendszerszolgáltatásokat használják mind. 
Természetesen a Page Sharing csak a telje- 
sen megegyező memórialapokat osztja meg a 
gépek között, ha valamelyik gép picit is eltér 
a többitől, akkor az az eltérés csak a saját me- 
móriatartományában lesz elérhető. A meg- 
oldás előnye, hogy kevesebb memóriára lesz 


szükségünk, ha sok hasonló virtuális gépünk 














E ze 


van. Hátránya: minimális teljesítménycsök- 

kenéssel számolhatunk. 

A másik újdonság a Memory Reserves 
funkció: lehetőségünk van arra, hogy a vir- 
tuális géphez rendelt memória egy adott szá- 
zalékát ne adjuk oda azonnal a virtuális 
gépnek, csak akkor, ha tényleg szüksége van 
rá, és van még szabad fizikai memóriánk. 
Ha már nincs, akkor a Windows Server 
Virtualization virtuális memóriát fog létre- 
hozni az adott virtuális gép számára. 

Ennek a két funkciónak akkor van igazán 
értelme, ha tesztrendszereket szeretnénk vir- 
tuálisan kiépíteni, és nem rendelkezünk kor- 
látlan mennyiségű memóriával. Éles környe- 
zetben azonban mindkettő jelentősen ront 
hat a teljesítményen, ezért ezeket a funkció- 
kat ne használjuk akkor, ha a lehető legjobb 
teljesítményt szeretnénk elérni. Éppen ezért 
a két beállítás kéz a kézben jár: 

a Ha a legjobb teljesítményt szeretnénk, ál 
lítsuk 100 százalékra a Memory Reserves 
opciót. Ekkor a virtuális gép azonnal és fi- 
xen megkapja az összes számára szükséges 
memóriát. Ilyen esetben a Page Sharing is 
ki van kapcsolva, hiszen a teljesítményre 
optimalizálunk. 

a Ha szeretnénk használni a Page Sharinget 
is, és inkább több memóriára van szüksé- 
günk, akár a teljesítmény kárára is, állítsuk 
a Memory Reserves opciót 100 százaléknál 
kevesebbre. A minimum, amit beállítha- 
tunk 75 százalék. Ilyen esetben a virtuális 
gép azonnal megkapja a számára beállított 
memória 75 százalékát, majd ha azt felhasz- 
nálta, kaphat még a fennmaradó fizikai me- 
móriából. 

Rosszabb esetben virtuális memóriát fog 
kapni, ha már nincs több szabad memória, 


amihez a virtuális gép hozzáférhetne. 





mm EE 


2 Memory 


Change the amount of memory allocated to the virtual machine. 
RAM: 11024 . MB 


The amount of memory must be between 8 MB and 6908 MB. 





Tárolóeszközök 
A VSP/VSC architektúrá- 
nak köszönhetően a tároló- 


eszközökkel 


számtalan olyan újdonság 


kapcsolatban 


érkezik, amely kihasználja a 





Memory Reserve 


Percent of memory reserved: l 100 9/o 





Spedfy the portion of memory (from 7554 to 10056) that will be reserved when the 
virtual machine is started. The unreserved portion will be allocated to the virtual 
machine if suffident memory is available. For best performance, spedfy 10054. 


1024 MB of memory will be reserved when this virtual machine is started. 





szintetikus eszközök lehető- 
ségeit, és új képességekkel 
jelentkezik a korábbi, tech- 
nológiailag limitált driver 
ekhez képest. 

Korábban Virtual PC és 








A Memory Reserve beállítási lehetőségei 


Virtual Server alatt az emu- 


Microsoft TechNet 
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lált IDE-vezérlő legfeljebb 127 gigabájtos me- 
revlemezeket volt képes kezelni. Ez a határ az 
új szintetikus eszközzel 2 terabájt, csakúgy, 
mint az SCSLeszközök esetében. Ezenkívül 
most már ugyanolyan gyors a szintetikus 
IDE-vezérlő is, mint az SCSLvezérlő (az emu- 
lált viszont még mindig lassabb - érdemes te- 
lepíteni a VSC-ket mielőbb!). 

Az SCSLvezérlő is fejlődött, most már ve- 
zérlőnként 256 virtuális merevlemezt használ 


hatunk egyszerre, és ezek egyenként 2 terabáj- 











Settings for Exchange 2003/Win 2003 EE x64 (4c) 


Z Addnew hardware 





3 Addnew hardware 


a BIOS 7 Select the virtual hardware to add. 


a e 





Ea Processor 


Legacy Network Adapter 


ag FA IDE Controller 0 
e E Drive 
erver 2003 ee x6 1 Configuraton Options: 
a begelák ágetássszáástr e esggltágjat sala ed sets Ta use an exid 
full path to the .vhd file. 
Controller: 


[scsz Controller s] fe s] 


(5 Create new VHD 









e bak Drive 
Fi IDE Cöntroller 1 
FE SCSI Controller 
ag Mi Erásökt ös zás Ete Port 














§ COM 1 








k Use existing VHD 
3 COM 2 
hd Diskette Drive 


Yv UV jsdsáje st 








Akár 256 eszközt is köthetünk a virtuális SCSI-vezérlőre 


tos méretűek is lehetnek. Linux, Windows 
Server 2003 és Windows Server 2008 alatt 
legalább 2 SCSLvezérlőt lehet majd használni 
(a guest clustering támogatása miatt). Azokon 
a rendszereken, ahol nem érhető el szinteti- 
kus SCSLvezérlő, jelenleg 4 IDE-eszközt lehet 
legfeljebb használni, de az új korlátokkal ez 
akár 8 terabájt tárhelyet is jelenthet. 


Hálózatkezelés 

Ezentúl virtuális gépenként 8 hálózati csa- 
tolót lehet majd használni, de ehhez szükség 
van a megfelelő VSC-k telepítésére, ugyanis 
ez a határ csak a szintetikus eszközök esetén 
érhető el. Emulált eszközökkel továbbra is 4 
hálózati kártya a maximum. 

A Virtual Serverben már volt lehetőség 
arra, hogy virtuális hálózatokat definiáljunk 
és kössünk hozzá virtuális gépeink hálózati 
csatolóihoz. 

Ez a Virtual Server esetében nem volt más, 
mint egy uplinkkel rendelkező egyszerű há- 
lózati hub. Ami azonban azt is jelenti, hogy 


az azonos (virtuális) hubra kapcsolódó gé- 
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pek képesek az egymásnak küldött adatokba 
belehallgatni, és ez nem éppen biztonságos 


megoldás. A Windows Server Virtualization 


esetén már nem hub, hanem egy virtuális 


NI 4 
2 
(AN 


K 


EST 


el. Ennek számtalan előnye van a VMRC- 
vel szemben. Lehetőségünk lesz olyan vir- 
tualizált operációs rendszerre is csatlakozni 
Remote Desktoppal, ami amúgy nem támo- 


gatja a Terminal Servicest, 





GST hertzot Corsorbea út nej 





eled Pe 9hvscői ge á9ve B D0s4-tro a. 

















saaztara ] Dovcnanan ) tarazaa Pertorsaren  uyogeteng ] onarn 





és ugyanúgy elérhető lesz 
egy ActiveX Control az 
RDP-hez, mint ahogy a 
VMRC esetében is meg- 
szokhattuk. 

A Windows 


Virtualization valameny- 









aa rg 






kez daszát sátzál 


Server 


c HM 






xan 
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zzz 


nyi összetevője WMI se- 
gítségével lesz scriptelhe- 
tő, ha pedig mélyebbre 


szeretnénk ásni a rend- 





szer lelki világába, bön- 


üle Ül same 





Akcióban a ose Server Virtualization 


Ceantralized Mananement Viawc Viawce and More Viawe 


By. Resource 
5loJo] 


gésszük át a HyperCall 
APl.kat. 

Ami még a felügyelet 
lehet: 
csakúgy ömint vas VIttúal 


Server 2005 R2 SPI, a 


kapcsán érdekes 





By. VIM State 


sal di 


By. Creation Date 


By. Operating 
System 


A System Center Virtual Machine Manager kényelmesebbé teszi a virtuális 


gépparkok kezelését 


switch áll rendelkezésünkre, és ez már csak 
azokra a portokra küldi el a csomagokat, 
ahova tényleg szükséges, és nem mindre, 
mint egy hub. 

Szintén újdonság, hogy már lehetőség van 
VLAN-ok használatára is, valamint akár a 
NAP-pal is képesek együttműködni a virtuá- 
lis hálózatok, igaz, még csak IPSec alapokon. 


Felügyeleti újdonságok, távoli elérés 
Történt jó néhány változás a virtuális gépek 
felügyeletével kapcsolatban is. Az első, hogy 
a webes adminisztrációs felület helyett egy 
MMC fogad minket, ami természetesen távo- 
li gépről is tökéletesen elérhető. 
Hasonlóképpen újdonság, hogy a VMRC 
prorokollt is lecserélték, és helyette minden 


az RDP-vel, a Remote Desktoppal érhető 





Windows Server Virtuali- 
zation is támogatja már 
a Volume Shadow Copy 
szolgáltatását, így lehető- 
ség van a VHD-k futás 
közben történő mentésére 


is (Volume Snapshot), va- 


4 VÁMNAK Na9gONA t4rv9 2. hol para]. maar? 
Védő tarva JE Kihalt 


lamint vannak eszközeink 
a VHD-állományok meg- 
nyitására is (de csak ha ép- 
pen nem használjuk őket), 
hogy abban kézzel végez- 
zünk el módosításokat. 
Ha pedig egy teljes virtuális gépparkot sze- 
retnénk megfelelően felügyelni, szükségünk 
lesz a System Center Virtual Machine Man- 
agerre is, ami mind Virtual Server alapú, 
mind pedig Windows Server Virtualization 


alapú gépek felügyeletére is alkalmas. 


Zárszó 
Érdekes technológia lesz a Windows Server 
Virtualization, az már biztosan látszik - az el- 
ső publikus bétaverzió 2007 második felében 
érkezik, a végleges változat pedig a Windows 
Server 2008 után legfejlebb 180 nappal lesz 
elérhető. Aki szeretne élőben is megismer- 
kedni a rendszerrel, látogasson el a http://ti- 
nyurl.com/yss3e2 URL-re. 
Budai Péter 
(i-pbudai(oOmicrosoft.com) Microsoft Magyarország 
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A következő oldalakon egy jól megkevert összeállítást nyújtunk, 


amelynek elemei azonban két ponton mégis összekapcsolódnak. 


Az egyik pont a Windows Server 2008, a másik pedig a hálózat 


— akár névteloldásról, biztonságos távoli elérésről, az alkalmazások 


sávszélesség-szabályozásáról, akár pedig a terminálszolgáltatás 


számos újdonságáról van szó. 


háttérben történő betöltése tekintendő fontos előrelépésnek, ami talán eldönti ,,...a fájl- 


K ezdjük a DNS-sel, ahol két szerveroldali változást kell megemlítenünk. Elsőként a zónák 


ban vagy az AD-ban tartsuk a DNS-zónákat" című vitát is - tudniillik az előbbi eseté- 


ben ez az új lehetőség nem áll rendelkezésre. Ha viszont a címtárban tartjuk a zónáinkat, akkor 


a Windows Server 2008 képes lesz ezeket egy DNS-restart után a háttérben, szeparált szaka- 


szokban, aszinkron módon betölteni. Így az eddigiekkel szemben képes lesz a folyamat közben 


is válaszolni a beérkező névfeloldási kérésékre, azaz nem bicsaklik bele egy esetlegesen nagy- 


méretű zóna egyszerre, lassan történő 
betöltésébe. Sőt, ha olyan kérés/regiszt 
ráció érkezik, amely egy olyan zónára vo- 
natkozik, ami még nincs a memóriában, 
akkor a kliens óhaja magasabb prioritást 
kap és a DNS-szerver azonnal kiszolgálja 
a kérést. De újra hangsúlyozni kell, hogy 
ez csak a címtátban tartott DONSzónákra 
[aza tájloanátantottzómakma lenyaraera 
szekvenciális feldolgozás. 

Egy másik szerveroldali újdonság a fel 
tételes továbbítók újszerű használata. A 
DNS MMC-ben, a faszerkezetben a zóna- 
típusok között egy új mappát láthatunk, 


, Conditional Forwarders" néven. Itt kell 








New Conditional Forwarder ei 
DNS Domain: 
lnb3.local 
IP addresses of the master servers: 
Delete 
2Click here to add a... 
AZ 137.100.25.46 zAttempting to resolve... Validating... Up 





[V Store this conditional forwarder in Active Directory, and replicate it as follows: 


fan DNS servers in this forest r] 
Jay ENnn 






AIIDNS servers in this domain 
NJAII domain controllers in this domain (for Windows 2000 compatibili 


The server FODN will not be available if the appropriate reverse lookup zones and entries are not 
configured, Tell me why the server is not reguired to te this task. 





nai ] 








Feltételes továbbítók beállítása 


felvennünk a különböző továbbítókat (a megszokott helyen is lehet persze), és a felvétel után 


ezeket a jobb oldali keretben megjelenő listában rögtön láthatjuk is. Ennél talán fontosabb vi- 


szont az, hogy integrált AD-zóna esetén lehetőségünk van a címtárban tárolni és ebből követ 


kezően replikálni is a továbbítókkal kapcsolatos adatokat. A replikáció többféle felállásban is 


működhet, azaz például minden tartományvezérlő DNS-szerverre (amely legalább Windows 


Server 2003) vagy éppen minden DC-re a tartományban. 
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Secure Socket Tunneling Protocol (SSTP) 
Sokan lesznek, akik azt mondják majd miu- 
tán beüzemelték ezt a szolgáltatást: , Na vég- 
re!" Ezzel nem a művelet hosszúságára, ha- 
nem természetesen e komponens szükséges- 
ségére gondolunk. Mert az SSTIP különleges 
megoldás, és jól beleillik abba a tendenciába, 
amely alapján - ez egy személyes vélemény - 
pár generáció (platform) múlva csak a HTTP 
és a HTTPS protokollokat kell majd kinyitni 
a tűzfalakban. Leplezzük le végre: a hagyo- 
mányos VPN-kapcsolatok helyett/mellett a 
Windows Server 2008-ban, HTIPS-en ke- 
resztül is képesek leszünk teljes értékű VPN. 
kapcsolatokat kezdeményezni. A jövő tényleg 
a HITP/HTIITPS alapú kommunikációé: er 
re bizonyíték az is, hogy még ebben a cikkben 
meg fogunk említeni egy másik területet is, 
ahol szintén van már passzoló megoldás, de 
sokan ismerjük és favorizáljuk a többi (... over 
ELETESZETT TES) megoldást is. 

Legalább három fő érvet fel tudunk sora- 
koztatni a VPN over HITPS (az SSL VPN 
elnevezés a hivatalos) mellett és a hagyomá- 
nyos típusokkal szemben: 

1. A speciális VPN-portokat nem tudjuk, 
nem lehetséges minden körülmények között 


használni, egyszerűen egy sereg helyen (pél 


Microsoft TechNet 
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dául szállodákban, publikus helyeken vagy 

más cégek hálózatában) tiltják. 

2. Bármelyik hagyományos VPN-típust néz- 
zük, a tunnelt a legtöbb esetben , át kell vezet 
ni" egy NAT-szerveren. Ez olykor kisebb, oly- 
kor nagyobb (LZT P) problémát is okozhat. 

3. A VPN-kapcsolatok tipikusan , egy vég- 
pont, egy csomópont" típusúak. Ha a két 
helyszín LAN IP-tartománya megegyezik, és 
közöttük NACot alkalmazunk, akkor szin- 
tén konfliktus van. 

Persze, az utóbbi két problémára léteznek 
ajánlott és működő megoldások, de könnyen 
beláthatjuk, hogy egyetlen portot kinyitva, a 
NAT és más hálózati nehézségek nélkül egy- 
szerűbb lenne működtetni egy VPN-infra- 
struktúrát. 

Az SSTP viszont egy, az alkalmazási réteg- 
ben működő protokoll, tipikusan két prog- 
ram közötti kommunikációra felkészítve - 
ugyanakkor egy hálózati kapcsolaton belül 
akár többre is (gyakorlatilag a teljes hálózat 
ban), ergo jobban képes kihasználni a sávszé- 
lességet. Az SSTP ugyanarra az SSL-háttérre 
támaszkodik, mint például az L2TP/IPSec 
(egymás mellett mindhárom típus jól elfér), 
és ugyanúgy a TCP 443-as portot használja. 
De tudnunk kell, hogy úgy, ahogy az LZTP 
IPSec nélkül, az SSIP SSL nélkül sem más, 
mint egy kicsit különlegesebb tunneling-pro- 
tokoll. Hátrányai közé tartozik még az is, 
hogy a Site-to-Site kapcsolatokban nem ve- 
hetjük majd hasznát. 

A lehetséges hátrányok után lássuk az elő- 
nyöket: 

a Nincs szükség külön kliensre, és nincs 
szükség például extra-IP címekre. 

a Mivel böngészőből megy a kapcsolat, csak 
TCP/IP-re lesz szükség, és ellentétben a si- 
ma SSLIel, itt a teljes session esetén mű- 
ködik a titkosítás. 

m Teljesen transzparens a felhasználó szá- 
mára, és nem kell speciális útválasztást, 
illetve metrikát sem használnunk. Nem 
számítanak akadálynak a kapcsolat két 
pontja között működő routerek, tűzfalak, 
webproxyk és NACszerverek. Nem függ a 
kapcsolat olyan extra protokolloktól, mint 
a Pt BTPGRE vagy az EZTBESÉ 

nu Kompatibilis az IPvó-tal, a NAP-pal, az 
RRAS-sal, akár a multifaktoros azonosí- 
taSsalés 

an Az alkalmazási rétegbeli működés miatt 


majd igazán kényelmesen szűrhetjük a for 
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galmat egy olyan tűzfallal, amely erre ké- 

pes (például ISA Server 2004/2000), per 

sze ehhez a speciális SSL Bridging mód- 
szerrel kell majd publikálnunk. 

Az SSITP- tehát a Windows Server 2008 
már tartalmazza, de alapértelmezés szerint 
nincs élesítve. Igazából nem kell semmi ext 
tára condolnunksaz RRAS-Banasszokásos 
módon összehozunk egy VPNitszervert, egy 
kattintással beizzítható az SSIP a Network 
Policy Serverben (NPS). 

Ami viszont fontos: még az RRAS indítása 
előtt rendelkeznünk kell megfelelő kiszolgá- 
ló tanúsítvánnyal, hiszen az 
SSIP HTTPS listenerjéhez 
ez alapfeltétel. 


" Routing and Remote Access 


Én LHUCZ - 192.168.0.18 - Remote Desktop 
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tatni a (?oS-házirendek alkalmazhatóságát. 
Képzeljük el, hogy egy telephelyes környezet 
ben a telephelyi kliensek rendszeresen, idő- 
zítve mentik a rendszerállapotot a központi 
szerverre, ezzel szépen ,eldugítják" a WAN- 
kapcsolatot, amely aztán rendszeresen fenn- 
akadásokat okoz az egyéb hálózati forgalom- 
ban, ezért aztán szükségesé válik egy (2oS-há- 
zirend bevezetése. 

Szerencsére a közbülső hálózati eszközök 
ismerik a DSCP-t (RFC 2474), azaz a priori 
tásszabályozást konfigurálhatjuk ezeken az 


eszközökön is. Ez azért fontos, mert ha el 





Érdemes kiemelni, hogy 
a napokban megjelent Win- 
dows Server 2008 Beta 3 
már működtethető SSIP 
kiszolgálóként, de az első 
kliens csak később érkezik 
meg hozzá, ami nem más, 
imint a Vista SP1lé(amely a 
WSO8 RIM-mel együtt a 
2007-es év vége felé fog meg- 





7 Netwodk pobcios allow you tó dosznato who is authonzod to connect tó tha netwodk and the öroumatanoss under 
) which they can or cannot connect. 


Condltions - F tha following condtions are met 


Condátion . Nehot 
MS-RAS Vendor ID. "3115 


Settngs - Then the following settings are appked: 


Beces3 Person 
Edenstie Authentceton Protocol Method Microsoft. Smart Card or other cetticste 
Method EAP OR M$SCHAP v1 OR M$SCHAP v1 (Uwer can change pass. 
T 





jelenni). 


A 005 szolgáltatás 
A házirend alapú Ouality of 








Service ((2o05) komponens 
alapértelmezés szerint része 
a Windows Server 2008- 
nak. Segítségével  egysze- 


rűen megoldható a WSO8- 


vagy Vista-kliensek esetén 


IP:port 
Certificate Hash 
Application ID 


az alkalmazások sávszéles- vegelzáby pek 


, bál ; Ge jee ntáE Ter 
ő ore Name 
seg-szabalyozasa. 08 .-Higser Üsadó 


Az összes beállítás és e me 


Certificate Hash 


beállítások terjesztése is a Application ID 


Csoportházirend . segítségé- 


Usage Chec 


vel" történik "Ennek a mód Ct1l Identifier 
Ct1l Store Name 
DS Mapper Usage 


szernek számtalan előnye 


van, a központi üzemelte- 





téstől kezdve egészen a meg- 
felelő gépek, gépcsoportok, 
telephelyek, tartományok, 

felhasználók és csoportjaik kiválasztásáig. 
Külön előnynek számít, hogy mivel a korláto- 
zás az alkalmazási rétegben történik, a meg- 
lévő alkalmazásokat semmilyen módon nem 
kell megváltoztatni vagy frissíteni ahhoz, 
hogy ezt a technológiát igénybe vehessük. 


Egy példán keresztül szeretnénk bemu- 


NWsersvadministrator.LHB39netstat —aon ifindstr 443 
TCP C::1:443 ÉSSJEA 


Certificate Store Name 
Uerify Client Certificate Revocation : Enabled 
VUVerify Revocation Using Cached Client Certificate Only 
: Enabled 

Revocation Freshness Time : 8 

URL Retrieval Timeout : Ra 


Negotiate Client Certificate 





ca. Administrator: C:(Windowslsystem32]cmd.exe 


icrosoft Windows [IUersion 6.4.68811 
opyright (c) 2886 Microsoft Corporation. 


All rights reserved. 


LISTENING 


"Wsersvadministrator.LHB32netsh http show sslcert 


SL Certificate bindings: 


: 8.8.98.8:443 
: dbaeesibaadüdaSeSbc4á9ia69baGg58ideddad641 
: MAS ZER EZSz SALT Z ZEKE BAN EZEEK 


: Disabled 


: Disabled 

: Disabled 

: [::]:443 

: dbaeesibaadüdaSe5be49ia69bag58ideddad641 
: €ba195988-cd49-458b-9e23—c84eeBadcd752? 


Certificate Store Name : MY 
VUerify Client Certificate Revocation : 
Uerify Revocation Using Cached Client Certificate Only 


Enabled 
: Disabled 
nable 


Revocation Freshness Time : 8 
URL Retrieval Timeout A 


: Disabled 
Negotiate Client Certificate 


: Disabled 


NsersSvadministrator.LHB32. 


A portfoglalás, illetve a tanúsítvány ellenőrzésének eredménye 


indítjuk a GPMC-n belül az adott GPO-ban 
a OoS-varázslót (Computer Configuration/ 
Windows Settings/ Policy based (205), ak 
kor a legelső panelen rögtön láthatjuk, hogy 
a konkrét sávszélességértéken kívül a DSCP- 
értéket is szabályozhatjuk. De miért is? Nos, 


mivel esetleg számtalan (2oS-házirendünk is 
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lehet, ezek között valahogyan fel kell állíta- 
nunk egy sorrendet, és ezt a hálózati eszkö- 
zökkel is közölni kell. A DSCP alapján erre 
egy O-tól 63-ig terjedő sávunk van, azaz minél 
magasabb értéket választunk, annál erősebb 
lesz az adott házirend. 

Miután ezzel végeztünk, sorban következik 
a korlátozandó alkalmazások megnevezése 
- de akár arra is van lehetőség, hogy az összes 
alkalmazásra nézve kötelezőnek állítsuk be a 
házirendet, a forrás és az esetleges cél IP-tarto- 
mányok (IPv6 is lehet), illetve a protokollok 
és portok megadásával. Több teendőnk nem 
is lesz, a házirend a Csoportházirend frissíté- 


si ciklusának megfelelően érvényre jut. 


Edit an existing 005 policy 


Policy Profile l Application Name ] IP Addresses ] Protocol and Ports ] 








Create a 005 policy 
A 005 policy applies a Differentiated Services Code Point (DSCP) value, throttle rate, 
or both to outbound TCP or UDP traffic. 
Policy name: 
] Telephelyi mentes 
[ Spedfy DSCP Value: 
J 32 -g 
FE E irt AE] 
I 500 [keps gé ] 


Learn more about 005 Polides 











medoea] ve] 


A prioritás és a konkrét sávszélességértékek együtt 


Terminálszolgáltatások 

Ha számba vesszük, hogy ezen a területen 
mennyi változás és újdonság jelent meg már 
a WSOS bétaverzióiban is, olyan érzésünk le- 
het, hogy a ITS-t fejlesztő csapat valamilyen 
speciális ajzószert használ saját teljesítményé- 
nek fokozására. Nézzük csak meg a listát: 

n "Terminal Services Gateway; 

a "Terminal Services RemoteÁApp; 

n "Terminal Services Web Access; 

a Terminal Services Printing. 

Sőt, anélkül, hogy itt részletesebben meg- 
említenénk, a sorba beletartozik a IS Session 
Broker (ami a helyes újrakapcsolódásért felel, 
és immár a sessionöket load balancinggal is 
képes elosztani a IS-farm gépei között!) és 
az új, a Vistában debütált (XP SP2 és W2K3 
SP1 esetén is letölthető) 6.0-s kliens is. 


Terminal Services Gateway 
A TS Gateway az SS1 P-hez hasonlóan szintén 
tűzfalbarát megoldás. Lehetővé teszi a távoli 


felhasználóknak a belső hálózati IS-szerver- 


hez való kapcsolódást HTTPS-en keresztül 
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Add Roles Wizard 


sr Installation Progress 


Before You Begin 


Select Server Roles 


Terminal Services 


Terminal Services 
Role Services 
Web Server (IIS) 
Application Compatibility 
RPC over HTTP Proxy 
Authentication Method 
Licensing Mode 
User Groups 
TS Licensing Configuration 
Server Authentication Certificate 
Authorization Polides 
Network Policy and Access Services 
Role Services 
web Server (II5) 


Role Services 


Confirm Installation Selections 


Installation Progress 





Installation Results 





Network Policy and Access Services 


Windows Process Activation Service 





The following roles, role services, or features are being installed: 





ovcjá EGESZSEGES A EKE EZKZ 


02 Tnitializing installation of Windows Process Activation Service. . . 





A TS Gateway szerep telepítéséhez szükséges lépések és kötelező komponensek (a Server Manager szerencsére síkit, 
ha kimarad valamelyik komponens) 


(RDP over HTTPS). Persze mindezt önmagá- 
ban képes megvalósítani, azaz például külön 
VPN-kapcsolat nélkül. Ez azt jelenti, hogy a 
távoli felhasználónak csak az új RDP-kliensre 
lesz szüksége a biztonságos kapcsolódáshoz. 

Szerveroldalon viszont szükséges ehhez 
egy Windows Server 2008-kiszolgáló, ami 
akár a tűzfal is lehet (az ISA-val remekül ké- 
pes együttműködni), de lehet a DMZ-ben 
vagy a privát hálózatban is. Így vagy úgy, a 
lényeg, hogy a távoli kliens- 


lyi felhasználói adatbázisból, az AD-ból, 
illetve ezek hiányában akár teljesen saját 
készítésű fiókok hatókörében is képesek 
vagyunk megoldani. 

Olyan házirendet is készíthetünk, amely- 
ben azokat a kliensgépeket jelöljük meg, 
amelyeknek adunk hozzáférést, de a kü- 
lönböző eszközök (meghajtók, vágólap, 
nyomtatók stb.) átirányítását is elvégezhet 


jük közvetlenül a CAP-házirendekből. 





nek ehhez a szerverhez kell 


Authorization Policies xi 


kapcsolódnia sel hogy so Create a TS CAP for TS Gateway 


aztán ez a szerver végezze a 
HI , Authorization Policies 
konverziót a hagyományos, Comálan Alttzátért Fillégr 
belső, csak RDP-vel operáló 


TS-szerver felé. 


Device redirection 
TS CAP Summary 
Confirm Policy Creation 


De nem csak ennyit tesz 
hozzá a IS Gateway a le- 
hetőségekhez:  hozzáférés- 
szabályzást, illetve erőfor 
rás-elérést is képes ellátni. 


Nézzük tehát e kétfelé osz- 





ló szabályzás lehetőségeit ki- 
csit részletesebben: 

a Engedélyező házirende- megkötéseink 
ket (IS CAP - Connec 

tion Authorization Policies) gyárthatunk 
a TIS Gateway Manager MMC-ben - vagy 
akár már a komponensek telepítése köz- 
ben -, amelyekkel felhasználóknak, cso- 
portoknak adhatunk kapcsolódási lehe- 


tőséget a TS Gateway-hez. Mindezt a he- 


Spedfy at least one supported Windows authentication method. If you select both methods, users that 
use either method will be allowed to connect. 


I Password [V Smartcard 





Add the user groups that will be associated with this TS CAP. Users who are members of these groups 
can connect to this TS Gateway server. 


User group membership (reguired): 


LHBE3ZÍTelephelyi userek 


Add Group... l 
Remove l 





Optionally, you can also add computer groups that will be associated with this TS CAP, Client computers 
that are members of these groups can connect to this TS Gateway server. 


dient computer group membership (optional): 


LHBE3ZÍTelephelyi gepek 


Add Group... ! Group... 
Remove l 


Help l 


c Previous ] Next 5 ! Finish l Cancel l 





A kapcsolódásnál a felhasználókat és a gépeket tekintve is lehetnek 


Készíthetünk erőforrás-elérési házirende- 
ket is (IS RAP - Resource Authorization 
Policy), amelyekkel szabályozható, hogy a 
hálózaton belül mely gépeket (számítógép- 
csoportokat) érhetik el távoli felhaszná- 


lók (akiket szintén szelektálhatunk itt is). 


Microsoft TechNet 
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Szintén lehetséges a meglévő helyi vagy 
AD-csoportok, illetve a helyben, a IS Gate- 
way Managerrel létrehozott csoportok 
használata, vagy akár úgy is beállíthatjuk, 
hogy ne legyen semmilyen korlátozás. 

a Jó, ha tudjuk: amíg nem hozunk létre 
mindkét típusból legalább egyetlen házi 
rendet, addig nincs semmilyen hozzáférés- 
re mód a IS Gatewayen keresztül! 

A TS Gateway még sok más érdekes és fon- 
tos lehetőséget is nyújt, mi most csak az ala- 
pokat mutattuk be. Lépjünk tovább a listá- 


ban, és nézzünk meg két rokonszolgáltatást. 


TS RemoteApp és TS Web Access 
A TS RemoteApp komponenssel könnye- 


dén és látványosan megoldhatjuk a termi 
nálkliens-alkalmazás ,ellátását" és haszná- 
latát. A klasszikus felállás szerint a vékony- 
kliensről - szemmel is látható módon - egy 
RDP-kapcsolatot kell kiépítenünk, majd az 
adott kapcsolaton (ablakon) belül futtatják 
a felhasználók a számukra engedélyezett al 
kalmazásokat 

Az új módszer szerint az üzemeltető (több 
publikálási módszer közül választva) parancs- 
ikonokat helyez el a felhasználó gépén, ame- 
lyekre kattintva az alkalmazás egy TS-kap- 
csolatot kezdeményez a háttérben, ennek ha- 
tására elindul a kiszolgálón az adott prog- 
ram, amit a felhasználó úgy vesz észre, hogy 
a kezelőfelülete rögvest megjelenik a gépén, 
tökéletes helyi alkalmazásnak , álcázva" ma- 
gát. Ha a gép vagy felhasználó számára több 
TS-alkalmazást publikálunk ezzel a módszer- 
rel, akkor a már élő RDP-kapcsolaton testvé- 
riesen megosztoznak a háttérben. 

Nézzük meg most dióhéjban az üzemelte- 
tő oldaláról szükséges teendőket. Rögtön az 
elején le kell szögeznünk, hogy ez a szolgálta- 
tás csak az RDP 6.0-klienssekkel működik 
EGYÜT 

1. Telepítenünk kell a publikálandó prog- 
ramokat, majd ellenőrizni a TS-jogosultságo- 
kat és az RDP 6.0 beállításait - mindezt köz- 
pontilag a TS-szerveren. 

2. TS Remote App-teendők 
a Az adott program terminálprogrammá 

, avatása" egy varázslóval lelőredefiniált lis- 

tát kapunk, amelyet persze tetszés szerint 

bővíthetünk). 
an Az adott program terminálprogramként 
való működésének engedélyezése. 


nm Egy. .rdp vagy .msi csomag elkészítése a ki 


ÁPRILIS-MÁJUS 


jelölt alkalmazás(ok)ból szintén varázsló- 
val, pár egyszerű lépésben. 

a A csomagok publikálása a felhasználók 
számára (parancsikonok kiszórása, meg- 
osztott mappa, Csoportházirend, stb.). 

3. A TS Web Access konfigurálása (op- 
cionális) 

x szükség esetén a IS Web Accesst is telepít 
hetjük, amely az IIS7 alatt működve a bön- 


gészőkből teszi lehetővé ennek az új mód- 


ÉT zesszezmuzny Í KK VZ- 7 

E] DD. €6 
SS] pt 
seems 


Az újdonságok két fő részből állnak, az 
úgynevezett Ierminal Services Easy Print 
meghajtóprogramból és a hozzá tartozó Cso- 
portházirend opciókból. 

A speciális meghajtóprogram egy bármi- 
lyen RDP-kkapcsolat esetén (RemoteApp, 
Web Access is) lehetővé teszi, hogy a kliens 
a saját - bármilyen típusú - nyomtatóját 
minden további beállítás és egyéni meghajtó- 
program telepítése nélkül használhassa. 


A Csoportházirend-op- 





Choose programs to add to the RemoteApps list 
Select the programs that you want to add to the RemoteÁApps list. You can also 
configure individual RemoteApp properties such as the icon to display. 


LIZ, ISCSI Initiator 
LII 88 Memory Diagnostics Tool 
384 Microsoft .NET Framework 1.1 Wizards 
Microsoft Clip Organizer 
2 Microsoft Office Access 2007 
Microsoft Office Diagnostics 
ísE Microsoft Office Excel 2007 
1 Microsoft Office Outlook 2007 
Microsoft Office Picture Manager 
(ga! Microsoft Office PowerPoint 2007 
2 Microsoft Office Publisher 2007 
1. Microsoft Office Word 2007 








Az ezen a gépen publikálható alkalmazások listája 


RemoteApp Wizard sé 


ciók pedig a finomhango- 
lást szolgálják, ezek segít 
ségével tudjuk először is 
engedélyezni ezt az opciót 
elsődleges módszerként, 
illetve óvatosságból azt is 
megszabhatjuk, hogy csak 
a kliensen lévő alapértel 
mezett printert használ 
hassuk automatikusan. 

AC Trossz "hír az, hogy 
ez jelenleg csak akkor 
működik, ha a kliens 
egy Windows Vista SPI 
(lebben a jelenlegi isme- 
reteink szerint egy még 
újabb RDP-kliens lesz), 
és szükség van a .NET 
Framework 3.0 SPlLre is 
(a végleges Vista SPLben 





FAT Tee e Mea eá sálat ási 


a asz (ÉÉTS Web Access 


Code Name "Longhorn 


KT 1 NYZ Tee 


ÜK 
RemoteApp Programs " 84 Configuration 


lg B 


Microsoft Office WinZip11.0  LHDC2.1hb3.1ocal 
Outlook 2007 


g xx 


Calculator Paint 








Az alkalmazások elérhetők akár a böngészőből is! 


szernek az alkalmazását - kicsit másképp, 
de hasonlóan hatékonyan és legalább ilyen 


látványosan. 


Terminal Services Printing 

Ellentétben az előző 1S-alkotóelemekkel, 
amelyek már a Beta ! idején is rendelkezésre 
álltak (persze változtak azóta), ezeket a speci 
ális, nyomtatással kapcsolatos lehetőségeket 


a Beta 3-ban használhatjuk először. 









I I am using a private computer that complies with my organizations security policy. (More information...) 


ez már előretelepítve ben- 


FT 
GYEI T [e http://192. 168.0. 18/ts/en-US/Default.aspx r] $911.X I ÍLive Search 
0 "EJ 7 éb 7 [PBage - (Tools 7? 


ne lesz). Szerencsére az 
XPESSEZEEes an WIK3I SPI 
is használhatja majd ezt 
a szolgáltatást, de csak a 
Windows Server 2008 
RIM kiadásakor lesznek 
elérhetők az ehhez szüksé- 
ges komponensek. 


A végére érve a legfon- 





tosabb megállapításnak 
az látszik, hogy a Win- 
dows Server 2008 háló- 
zattal kapcsolatos szolgáltatásainak, kompo- 
nenseinek listája terjedelmes méretű, hiszen 
a cikkben (a néha igencsak szűkszavúan) 
említett témák mellett az IPvő-ról, a teljesen 
újraírt TCP/IPről (NextGeneration ICP/ 
IP stack, NDIS 6.0), a Scalable Networking 
Packrólő vagy " akár a Network Policy and 
Access Serverről sem esett szó. 
Gál Tamás 
(v-tagal Omicrosoft.com) Microsoft Magyarország 


ya 
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ÉGY FÜRT VVINDOWS 


Egy új termékről szólva illendő ötvözni az újdonságok felsorolását 


azok technikai részleteinek áttekintésével. Mindezt lehetőleg úgy, 


hogy az olvasó — aki minden témában újdonságokat kap nagy 


mennyiségben -— ne érezze azt nyomasztónak. 


Windows szerverek életében régóta (Wolf Pack) jelenlévő hibatűrő fürtözéshez minden 

verziónál kaptunk kiegészítéseket, módosításokat, sőt előfordult, hogy műsoron kívül 

is jelentek meg új funkciók. A Windows Server 2008 valóban jelentős és már régen 
várt változásokat hoz az érem mindkét oldalán, legyen az az adminkonzol vagy akár a hálózat 
kezelés. Az emberiség számítógépekkel foglalkozó tagjai számára régóta fontos kérdés, hogy 
miképpen lehetne egy szervezet működéséhez fontos alkalmazások, adattartalmak elérhető- 
ségét folyamatosan biztosítani. Amíg valamely érintett komponensből egy van, addig annak 
meghibásodása kritikus az egész rendszer szempontjából (Single Point of Failure, SPoF), úgy- 
hogy ezeket az elemeket többszörözni kell. 

Erre szolgálnak például a különböző RAID-szabványok, amelyek segítségével a tárolás szint- 
jén lehet redundáns és hibatűrő konfigurációkat kialakítani vagy akár a memóriaelemek, 
tápegységek, hálózati interfészek számát növelni. A failover clustering (átkapcsolásos, esetleg 
feladatátvételi fürtözés) esetén egyrészt megkíséreljük az összes kritikus elemet többszörözni, 
másrészt ezeket megfelelő módon vezérelni a magas rendelkezésre állás érdekében. 

Egy virtuális pont mögé eldugva több valóságos gép azonos cél érdekében dolgozik együtt, 
hogy a rajtuk futó alkalmazások és az azok mögött lévő adatbázisok lehetőleg minél tovább 
hozzáférhetőek legyenek. Az éppen aktív tag meghibásodása esetén a kiszolgálás automatiku- 


san átmozog egy másikra a fürtön belül (amíg még 








van rá lehetőség), így a külső szemlélő számára fo- 
List BIOS Information 

List Environment Variables 

List Fibre Channel Host Bus Adapters 
List ISCSI Host Bus Adapters 

List Memory Information 

List Operating System Information 
List Plug and Play Devices 

List Running Processes 

List SAS Host Bus Adapters 

List Services Information 

List Software Updates 

List System Drivers 

List System Information 

List Unsigned Drivers 


lyamatosnak látszik a működés. Ehhez persze arra 
is szükség van, hogy az adatok bármely tag számára 
hozzáférhetőek legyenek az adott pillanatban, ami- 
nek biztosítására több megoldást is felkínálnak a 
fürtszolgáltatások. 

Fontos a fürt megbízható elérhetőségét is biz- 
tosítani, részben a már említett több hálókártyás 


(team-elt) módszerrel és a hálózati elemek redun- 


z 
a 
z 
o 
a 


danciájával, illetve többrétegű modellekben kom- 


E SaGa 


Validate Cluster Network Corfiguration 
Validate IP Corfiguration 

ti terhelésmegosztás, NLB) nyújtotta előnyökkel. 5; Validate Windows Firewall Configuration 
H-MÉgi Storage 

bh List All Disks 


G 
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binálható egy másik fürtözési technológia (hálóza- 


íta je List Potential Cluster Disks 
Telepítés ; Validate Disk Access Latency 
Egy failover clusternek nagy valószínűséggel fon- j Validate SCSI device Vital Product Data (VPD) 


É-i System Corfiguration 
je Validate Active Directory Configuration 
SARAT éz ; TE ; 5 je Validate All Drivers Signed 
lásról és hibatűrésról van szó -, mindenképpen : ilálzáás ölásseálltsa Slásán Máltát 
ajánlott tehát az új Validate Tool tesztjeit lefuttat : Validate Reguired Services 


1. ábra. A telepítés előtti tesztek teljes listája 


tos szerepet szánunk - magas rendelkezésre ál 











ni a telepítés előtt. Ezek tartalmazzák a tagok, a 


kJ 


hálózat(i konfig)- és a tárolók tesztjeit, mint 
azt a mellékelt I. ábra is mutatja, tiszteletet 
parancsoló mennyiségben. 

Amennyiben megfelelő a tesztek eredmé- 
nye, kezdődhet a fürt telepítése. Minden 
platform (x86, x64, IA64) és mindkét szer 
verváltozat támogatja a fürtözést (a failover 
és az NLB is), tesztként egy GULs és egy 
Core verziót illesztettünk össze. A grafikus 
felülettel bíró Windows Server 2008 tényleg 
nagyon barátságosan és gyorsan konfigurál- 
ható, a Core már egy kicsit keményebb dió 
volt, mert valóban csak parancssora van. 
Némi kapirgálás után lett fix IP-cím (netsh 
int ipv4 set address), kicsit később be lehetett 
rá RDP-zni (cscript cxswindowsvsystem32N 
scregedit.wsf /ar 0), és máris ott volt ugyanaz 
a command prompt, mint a konzolon... 

Bár mostantól a clusternek nem kell saját 
szervizfiók, mert LocalSystem alatt fut, to- 
vábbra is tartományba integrálva működik, 
tehát a GULs WSO8 szerverünkből tarto- 
mányvezérlő lett, és a Core-t be kellett léptet 
ni a tartományba (netdom join). Ezek után 
jöhetett a clusterrszerviz installja (start /w 
ocsetup FailoverCluster-Core), ennek ered- 
ményeképpen lett egy, a 2. ábrán látható 
konfigunk, majd következett néhány kör a 
diszkek csatolásával Virtual Serverben a leen- 
dő fürt alá. Ez sem volt haszontalan, mert 
bizonyítást nyert a WSO8 cluster szervizének 
egy fontos változása a Parallel SCSLcsatolók- 
kal kapcsolatban (mivel nem támogatott). 
Viszont az új szerverek tartalmaznak iSCSI 
initiatort, és a dolog virtualizációban is át 
járható - csak egy jó targetet kell találni - , 
úgyhogy ez lett a megoldás. A grafikus felüle- 
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ten viszonylag gyorsan ment az iSCSLössze- 
kapcsolódás, a Core-on el kellett indítani az 
initiatort (sc NCSserver name? config msiscsi 
starts auto), majd megint egy újabb parancs 


(iscsicli) várt felfedezésre. 





Tou are ready to create a cluster. 
The wizard will create vour cluster with the follovina settinas: 





üluster:; LHb3cluster 
Mode: lhb3.Ihb3.test 
Mode: lhb3core.lhb3a.test 
IP Address: 192.168.1.150 











2. ábra. Máris készíthetjük a clustert 


Fontos cél volt a fejlesztés során egy jól 
használható kezelőfelület kialakítása, ahol 
minden, a clusterhez kapcsolódó műveletet 
el lehet érni. Innen indultunk a legelején a 
validációs tesztekkel, és a hardver előkészí- 
tése után végül a Create Cluster Wizardban 
egyszerre kijelölve a két tagot, meglepő gyor- 
sasággal elkészült a fürt, amelyről igen részle- 


tes összefoglalás készül a folyamat végén. 


Az új adminkonzol a következő ábrán lát 
ható, szintén sok újdonságot mutat, intuitív 


formában közli az információkat, inkább az 


Az ISCSI — szabványos hálózati protokoll az SCSI- 
forgalom átvitelére TCP/IP-hálózatokon — jelen- 
tősége a gigabit ethernet elterjedésével nőtt meg: 
olcsóbb alternatívája lehet a Fiber Channel-megol- 
dásnak, mivel nincs feltétlenül szüksége saját spe- 
ciális intertészre, és széles körű kompatibilitást biz- 
tosít. Ha ragaszkodunk a megszokott kliens—szerver 
terminológiához, akkor az initiator az ISCSI-kliens 
és a target az ISCSI-szerver. Az iniítiator TCP/IP-há- 
lózaton csatlakozik a targethez, amelyen található 
erőforrások (lemez, magnó, optikai meghajtó stb.) 
a kliensen helyi SCSI eszközként jelennek meg, 
így egyszerűsítheti például fürtök létrehozását is. 
A gyártói támogatás széleskörű és minden bizonnyal 
tovább fog bővülni, a Microsoft 2003 júniusa óta 
rendelkezik initiator modullal, ennek jelenleg 2.03- 
as változata szabadon letölthető, illetve a WS08 
tartalmazza azt. Kis kitartással Windowson futó free 
targetet is találni — például ilyen a Starwind vagy a 
MNYSAN —, komolyabb kihívások esetén a Windows 
Storage Server R2 szerezhető be. 


Microsoft—-Windows-Servuerlore—Package 


Installed:BitLocker 

Installed-:BHitLocker—RemotefdminTana 1 
Installed:€lientForWHF5—-Baze 

Installed:DFSMH—Seruer 
Installed:DFSHR-Infrasztructurs—-—ServerEdition 
Installed:DHÜPSeruerlore 
Installed-:DirectoruServuices—-ADAH—Serverlore 
Installed:BDirectoryServuices-homainűlontraoller—ferverFoundat ion 
Installed : DHS5—S§eruer—Core—Ra le 
Installed:FailouerCluster—Care 
Installed:FR5-Infrasztructure 
Installed:Hicroszoft-Windows-RemouableStoragelílanagementűlore 


Installed-:Hultinathiuoa 


Installed:HetuorkLaadBalancinygyHeadlessferuer 
Installed:Printiny-Seruerilare—Ha le 


——— Hot Installed-:Printingyg-LPDPrintService 


Installed-: ü04ŰE 
Installed:ServerForWHF5—-Baze 
Installed:54HHP—£C 
Installed:S5UjáCore 
Installed:Telnetűülient 


Installed:WindowussServerBackup 


Installed:4IHS5—5C 


Installed-NetworkLoaadBalancingyHeadlessSeruer 
Installed:Printiny-Seruerloare—Ha le 


——— Hot Installed-:Printing-LPDPrintSservice 


Installed :- ü04ŰE 
Installed:S§erverForNWHF5—-Baze 
Installed:54HHP—£C 
Installed:5SUjáCore 
Installed:Telnetűülient 


Installed:WindowusServerBackup 


Installed-:WIH5—5€ 
3. ábra. Mindjárt kész? 


alkalmazásokra fókuszálva. A felület három 
részre oszlik, bal oldalon a szokásos fastruk- 
túra, középen egy infopanel az éppen kijelölt 
komponens adataival, aktív beavatkozási le- 
hetőségekkel. Jobb oldalon pedig a taszkpa- 
nel mutatkozik, szintén dinamikusan alkal 


mazkodva az objektumokhoz. 


bi Failover Cluster Management 





van emelve (az összes tagról összeszedegetve 
és fontosság szerint rendezve). 

A naplózáshoz kapcsolódóan érdemes meg- 
említeni az Event Iracing for Windows kom- 
ponenst az események közötti összefüggések 
vizsgálatára. Bár sokan nem kedvelik a wiz- 


ardokat, a konzolból indítható varázslók is 





File Action View Help 
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SB Failover Cluster Management 
d új LHb3duster.lhb3.test 
BH E Services and Applications s Summary of Ilhb3core.Ilhb3.test 
TE MultiCash : 
3 Solitaire 
E (gi Nodes 


Ihb3core has 2 applications/services. 


Statusz Up 


d ei OS Name: Microsoft8 Windows Server" Code Name "Lo... 
a 


Version: 6.0.6001 
ci Storage 


d Networks 
d Custer Network 1 
xi Cluster Network 2 
í8] Cluster Events 


Service Pack: Service Pack 1, v.113 
Manufacturer: Microsoft Corporation 
System Model: Virtual Machine 


Applications and Services 
E MultiCash 
-4 Solitaire 


(a) Online 
(8) Online 


Network Connections 


A) BH Ihb3core - Local Area Connection (8) Up 
Aa HI Ihb3core - Local Area Connection 2 (s) Up 





- Pause 


E Re 
System Type: X36-based PC 7 : 
Processor- 3.31 GHz ore Actions. . . 
Total Physical Memory: 255.48 MB View 
Total Virtual Memory: 1.23 GB 


Page Hle Size: 1 GB (ai Refresh 


[d Help 


Ihb3core 
Ihb3core 


Network: Cluster Net... 
Network: Cluster Net. 





4. ábra. A duster konzolja is beköltözött a 3-as MMC-be 


Érdekesség, hogy a Windows Server 2008. 
ban naplófronton a hagyományos System- 
Application-Security triumvirátuson túl is 
van élet, például a FailoverClusteringnek is 
saját logja van az Event Viewerben, sőt, ha 


jobban megnézzük a konzolfa alját, oda is ki 


láthatóan fejlődtek, jól használhatóak. Ettől 
függetlenül hozzáférhetők a hagyományos le- 
hetőségek is a fürt kezelésére, lekérdezésére, 
például a cluster parancs vagy a bővített para- 


méterkészletű WMI és a Cluster MOM Man- 


agement Pack. Itt érdemes megemlíteni a 
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mentési lehetőségek bővülését: továbblépett 
a Volume Shadow Copy Service, ezentúl ke- 
zeli a fürt erőforrásait is (Cluster VSS writer), 
és hardveres snapshotok is visszaállíthatók a 


cluster diszkjeire (Maintenance mode). 


Infrastruktúra és rendelkezésre állás, 
tárolókezelés 

A fürtkonfigurációs lehetőségek terén meg- 
maradtak a már megszokott formációk, a 
közös guorum és a majority node (MNS) mo- 


dellek, és lehetséges ezek hibrid alkalmazása 


Simplidity, security, stability 


A fenti szavakkal ajánlja a Microsoft új clustering-meg- 





oldását. Cluster-telepítés egy menetben, pilótavizsga 
nélküli fürtmenedzsment — legyen egyszerőlbb) lét- 
rehozni és fenntartani bárkinek magas rendelkezésre 
állású, hibatűrő szolgáltásokat a hálózatán. 

Hát tessék, akkor így múlik el a világ dicsősé- 
ge, mostantól varázslóval bárki telepíthet magá- 
nak clustert? 

Természetesen nem, mivel a szoftveren kívül a fürt 
nárom H-s ügy: kell hozzá jó Hardver, stabil Há- 
lózat és inkább több, mint kevesebb Hozzáértés, 
ilyenkor pedig egy wizard — legalábbis ebben a ver- 
zióban — legfeljebb asszisztálni tud. 





páros számú tag esetén is, illetve speciális to- 
pológiák támogatására (Node and Disk Ma- 
jority Node and File Share Majority), hogy 
valóban ne legyen a fürtben SPokF. Lehetőség 


nyílik aktív alkalmazások melletti diszkbőví- 





6. ábra. A Windows Server 2008-dusterek architektúrája 


tésre és a függőségek menet közben történő 
módosítására. 

A közös tárolón nem támogatott a pa- 
rallel SCSI, helyette a SAS, az iSCSI és a 
Fiber Channel kerül előtérbe, és fejlesztések 
történtek a SAN-kommunikáció kezelésére, 


ilyen például a SCSI bus reset elhagyása. 


Hálózatkezelés 

Jelentős előrelépés a fürt kiterjeszthetőségé- 
ben, hogy az új cluster-szerviz megengedi a 
különálló alhálózatokon lévő tagok összekap- 
csolását extra VLAN konfiguráció nélkül (a 
heartbeat TILje Lre volt állítva, és ennek 
köszönhetően nem tudott eljutni egy másik 


subnetbe). Szükség esetén átállítható a heart 





represents AND" relationship: all child resources must be on-line 


j / 1] 
d) 


b 
S ———— 18 


Network Name And 
Name: SOLITAIRE 





"Name: SOLITAIRE dependencies are Generic App and (IP Address: 192.168.1.11 or IP Address: 192.168.1.13). 


represents "OR! relationship: at least one child resource must be on-line 


IP Address 
IP Address: 192.168.1.13. 


Generic Application IP Address 
Generic App IP Address: 192.168.1.11 








5. ábra. Dependency Report 


32 








ém Storage 


beat timeoutja is, így összeköthetők a földraj- 


zilag távoli szerverek is, vagy a csökkentéssel 
lerövidíthető a hibák észleléséig eltelt idő. 
Megszűnik a NetBIOS függőség a névfel 
oldásban (plusz az ilyen irányú broadcast 
forgalom is) és DNS alapon megy tovább. 
A kommunikáció a Windows Server 2008 
IP-stackjére épül, természetesen teljes körű 
IPv6-kompatibilitással a fürtön belül a tagok 
között - illetve a kliensek és a fürt kommu- 
nikációjában. Tisztán Kerberos-autentikáció 
és semmi NILM, UDP helyett TCP. Nem 
hanyagolható el a függőségek kezelésében 
történt változás sem, egy Network Name erő- 
forrás aktív maradhat, amíg az alatta lévő [P- 


címek közül legalább egy elérhető. 


Konklúzió 
A gyors áttekintés végén hozzá kell tenni, 
hogy a lista még messze nem teljes. Az tisztán 
látható, hogy komoly fejlesztésekkel és fontos 
változásokkal találkozunk a szolgáltatásban a 
gyártó által célként megjelölt négy területen 
(security, networking, eventing, storage), és 
mivel a beta3-as már feature complete verzió, 
ezekkel a leírt formában biztosan számolha- 
tunk. A téma kiegészítéseként érdemes elmé- 
lyedni a következő linken elérhető további 
részletekben is: 
http:/www.microsoft.com/windowsserver/ 
longhorn/failover-clusters.mspx. 

Ország Tamás 

MCSE-7-S--M, MCT 

(tamas(Dedupro.hu) Számalk 
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A Windows Vista biztonsági újdonságai 
mind beépültek a Serverbe is. 
Felmerülhet a kérdés: 
vannak-e további újdonságok? 


yakorlatilag költői a kérdés, azonnal el is oszlatjuk az esetleges kételyeket: sok-sok 
újdonsággal állunk szemben - ahogyan az várható is volt. Főképpen azért, mert a 
Vistával közös megoldások a rendszerek alapszintű működését érintik (UAC, házi 
rendek, BitLocker, az IE védett módja stb.), a Windows Server 2008 viszont egy hálózati, ki- 
szolgáló-operációsrendszer, olyan nagy és jelentős megoldásokkal és komponensekkel, mint 
például a címtár, a tanúsítványkiszolgáló infrastruktúra vagy éppen - teljes újdonságként - a 


hálózati hozzáférést fizikai szinten ellenőrző eszköz. 


Biztonsági változások a címtárral kapcsolatban 

Több idetartozó témát már tárgyaltunk a TechNet Magazin Active Directoryról szóló cikké- 
ben (a talán legnagyobbat, azaz a RODC-t is), de azért maradt még jó pár téma, amelyek közül 
két nagyobb lélegzetűről be is tudunk számolni. Az első az auditálásban bekövetkezett érde- 
kes és fontos változás, amely lehetővé teszi, hogy jobban nyomon kövessük az AD-objektumok 
változásait. Bekapcsolhatunk például olyan új auditházirendet, amellyel lehetőségünk nyílik 
a címtárszolgáltatások naplózásánál az adott objektum régi és új értékét egyaránt megfigyelni. 

A Windows 2000/2003-kiszolgálókban egyetlen auditházirend van, amellyel engedélyez- 
hetjük vagy tilthatjuk a címtárral kapcsolatos hozzáférések naplózását (az 566-os számú ese- 
ményekben látszik majd ennek az eredménye) - de ez a módszer egyrészt nem túlságosan bő- 
beszédű, másrészt nem túlságo- 
san testre szabható. A Windows 
Server 2008-ban ez a házirend 












Object Server: os 


négy részre lett szétszedve: Men 


ztertadmin OU Telepholyt urerekDCzIhba DCztoca 
n Directory Service Access, WitePropany 


Access Mask: 


un Directory Service Changes, 


KlNKÜSÉ SEN ELKÉSTEK ON ÁTNKENT 
(bf96720e-Odeő-1190-a285-0022003049e2) Jel 
s . 5 ; 11d0-a285-00a2003049€2) 
n Directory Service Replication, MEREMÉZNÉB s] 
[díttonal Information: 
a Detailed Directory Service CSEÉST a sze RSZORATSNMÉ MESKÉSÁZÉSB 1 


; ; sze ESB Base 
Replication. TELEN ÉGZKÁÉNÉE 
Az alkategóriák bekapcsolásá- 
hoz az auditpol parancssori esz- 


közt kell használni (a GULn eb- 
ből nem sok látszik - legalábbis 


— ogy ] 


Az objektum névváltozásának követése 

egyelőre). Ha viszont egyszer be- 

kapcsoltuk, akkor lehetőség lesz az adott objektum (mondjuk egy OU), biztonsági jellemzőin 
keresztül az Audit szakasz alá felvinni egy-egy bejegyzést, amelynek következtében aztán a 
Security-naplóban láthatjuk majd a kapcsolódó események pontos leírását, illetve a változások 
előtti és utáni állapotot (a 4662 ID-ra kell szűrnünk). Lássunk néhány egyszerű példát a jellem- 


zők részletességének naplózására: 


Ke 


ETI 


a az objektum bármely jellemzőjének meg- 
változtatásakor a régi érték megjelenítése 


(usernév, telefonszám stb.); 


497 , 
a egy objektum tartományon belüli mozga- 
tásakor a régi, illetve az új lelőhely megne- 


vezése; 

a egy objektum törlésből történő visszaállí- 
tásakor a visszaállítás helyének megneve- 
zése. 

Jó tudni azt is, hogy ez az új lehető- 
ség rendelkezésre áll majd az AD LDS-nél 
is (Lightweight Directory Services), azaz az 
ADAM utódjánál. 

Egy másik, alaposan megújult szolgálta- 
tás a tanúsítványszolgáltatások területe. A 
címtárral történő együttműködés már az 
elnevezés változásából is kiderül, innentől 
ugyanis összefoglaló néven Active Directory 
Certificate Servicesnek hívjuk az idetartozó 
komponenseket, amelyek a következők: 

n ADCS: Web Enrollment, 

a ADCS: Policy Settings, 

a ADCS: Network Device 
Service, 

an ADCS: Enterprise PKI (PKIView), 

a ADCS: Online Certificate Status Protocol 
Support. 


Enrollment 


A Web Enrollment komponens változott 
talán a legtöbbet, ami például azt is jelenti, 
hogy az ActiveX alapú megoldást a Vistában 
és a Windows Server 2008-ban lecserélték 
egy új és egyszerűnek tűnő COM alapú esz- 
közre. De nem kell megrémülnünk az új esz- 
köz (CertEnroll.d1]D mellett a régi szerverek- 
kel (illetve egy-két megkötéssel a WS0O8-ki- 
szolgálókkal is) működhet a régi webes tanú- 
sítványbeszerző és -megújító eszköz (Xenroll. 
d11), ráadásul az áttéréshez a WSO8-ban több 
lehetőség is rendelkezésre áll. 

Az idevágó rengeteg új házirend-opcióval 
(ADCS: Policy Settings) is érdemes lenne 
foglalkozni, de talán még ennél is érdeke- 
sebb a Network Device Enrollment szolgál 
tatás, amely a Microsoft implementációja 
a Simple Certificate Enrollment Protocol 
(SCEP) szabványprotokollra. Az NDES lehe- 
tővé teszi, hogy a különböző hálózati eszkö- 
zök (szoftverei) hitelesítési célokra x509-es 
tanúsítványokat igényelhessenek, például a 
saját CA-szerverünktől, így többek között 
tudunk 


IPSeckapcsolatokat könnyebben 


majd létesíteni ezekkel az eszközökkel. Az 
NDES ISAPI filterként működik a CA szer 
ver IIS-én, így az IIS képes lesz: 
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generálni és kiosztani az egyszeri igénylés- 

hez szükséges adminjelszavakat; 

n elkapni és feldolgozni a routerek, switchek 
által , benyújtott" SCEP-igényléseket; 

an a CA felől pedig visszairányítani a függő 
kéréseket (Pending reguests). 

A (korábbi) PKIView-komponens so- 
kak számára ismerős lehet már - eddig a 
Windows Server 2003 Resource Kit része- 
ként volt használható -, mostanra viszont 
beépült a Windows Server 2008-ba, egy 
MMC bővítmény formájában, és új nevet is 


kapott (Enterprise PKD. Egy ráncfelvarráson 





2 dcA1 - /certenrol 1/ - Windows Internet Explorer 


GO - [e http://de1/certenroll/ r] é9/Xx [ e Seard Rl- 


7 [éj Page v (Xi Tools e" 


14 ŐZ  fédci- kertenrol 





del! - /certenroll/ 


[To Parent Directory] 
5/6/2007 7:38 PM 869 DC1.1hb3.10cal 1hb3-DC1-CA.crt 
5/6/2007 7:39 PM 716 1hb3-DC1-CAt.crl 
5/6/2007 7:39 PM 951 1hb3-DC1-CA.crl 
5/6/2007 7:41 PM 318 nsrev 1hb3-DC1-CA.as 
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vagy ha időnként komoly méretű terhelés 
alatt áll a hálózatunk a CRL-ellenőrzés miatt 
(sok egyidejű hálózati belépés, e-mailek vizs- 
gálata stb.), vagy például akkor, ha egy nem 
Microsoft CAttól kapott visszavonási listát 


kell , szétszórni" a tartományban. 


Network Access Protection (NAP) 


A NAP valószínűleg a Windows Server 
2008 legnagyobb - biztonsággal kapcsola- 
tos - , dobása" lesz. A legtöbb szervezet ese- 
tén ugyanis jelentős igény mutatkozik egy 
olyan megoldásra, amely már a fizikai háló- 
zat szintjén elválasztja az alkalmi 
csatlakozású vagy kevésbé meg- 
bízható, illetve kevésbé felügyel 
hető számítógépeket a belső háló- 
zatba tartozó, értékes kliensektől 
és szerverektől. Tartományi kör- 


nyezetben van néhány eszközünk 





http://szerver. neve/fertEnroll — így is lehet 


is átesett, és így a komplett, vállalati rendsze- 

rünk PKLinfrastruktúráját, illetve a CA-nk 

felügyeletét is képes kezelni, mert: 

m egyetlen hierarchikus nézetben képes 
megjeleníteni a PKLinfrastruktúrát és a 
címtárhoz való viszonyát; 

m érti és használja a Unicode-karaktereket; 

n szülő/gyerek nézetben képes bemutatni a 
CAk hierarchikus fastruktúráját; 

n az MMC-ből minden csomópont közvetle- 
nül felügyelhető; 

a a különböző állapotokra használt szín- 
kódok segítségével gyorsan megítélhető a 
tanúsítványok, a CA-k, és a PKLrendszer 
egészének állapota. 

A következő komponens viszont teljes 
mértékben újdonság. A hagyományos ta- 
núsítvány-visszavonási listák (Certification 
Revocation List, CRL) használata mellett 
a WSO8-kiszolgálókban lehetőségünk van 
az Online Responder MMC modul hasz- 
nálatára, azaz az Online Certificate Status 
Protocol (OCSP) előnyeinek kiaknázására. 
Ezek az előnyök akkor jelentkeznek, ha pél 
dául egy távoli bejelentkezéskor a kliens nem 


képes letölteni egy nagyobb méretű CRL-, 


ÁPRILIS-MÁJUS 


a biztonsági határok felállítására, 
a központi felügyeletre és a re- 
nitens gépek , móresre tanításá- 
a", de sok esetben még ez is ke- 


vés. Viszont a fizikai hozzáférés 





a — szintjén egyáltalán nem rendel 
kezünk ezekkel az eszközökkel. 
Ugyanakkor nagyon sok esetben 





nem tagadhatjuk meg teljesen a hozzáférést a 
fizikai hálózatra szükségszerűen jogosan kap- 
csolódó (nem tartományi) gépektől sem. 
Erre a láthatóan nehezen megoldható 
helyzetre nyújthat gyógyírt a NAP, azaz egy 
olyan szerver-kliens megoldás, amely a vé- 
dett hálózatunkban alapértelmezés szerint 


még az IP-kapcsolatot sem engedi 


: ENNE ET TT dalse 
meg, és amely csak egy alapos, az an IEEE kNTA ETT 


C iIN-I 


biztonsági szabályzattal, és az eredmény alap- 
ján dönt a hálózati hozzáférés engedélyezé- 
séről. Ha a folyamat negatív eredménnyel 
zárul, a kapcsolódni szándékozó kliens nem 
jut be a védett hálózatba, hanem lehetőséget 
kap biztonsági állapotának , szintre hozásá- 
ra", azaz csatlakozhat a publikus szegmensen 
működő WSUS/SMS-sszerverhez, a vírusir 
tó-szignatúrákat tároló szerverhez, majd a 
szükséges korrekció után végrehajthat egy 
újabb kapcsolódási kísérletet. 

A tisztánlátás kedvéért említsük meg a 
NAP egyetlen előzményének tekinthető 
- már a Windows Server 2003-ban és az 
ISA 2004/2006 kiszolgálókban is jelenlévő 
- VPN-karanténmegoldást, de csak azért, 
hogy kiderüljön: mélységében és használ 
hatóságában egyaránt nagyon különbözik a 
NAPt-tól. A legjobb példa erre a beléptetőkö- 
zeg, ugyanis a VPN-karantén értelemszerűen 
csak a VPN-kapcsolatok esetén volt használ 
ható, míg a NAP a vezetékes, a vezetéknélkü- 
li és a RASZVPN-kapcsolatok esetén is, il 
letve a kapcsolódás típusa alapján a DHCP-, 
IPSec vagy éppen az RDP-kliensekre is al 
kalmazható. 

Fontos azt is tudni, hogy az első NAP-ki- 
szolgáló a Windows Server 2008 lesz, kliens- 
öldalon viszont a. Vista már tártalimazza. a 
megfelelő összetevőket. Egy jó ideje elérhető 
- de egyelőre csak a tesztelők számára - az 
XP SP2-re telepíthető NAP-kliens is. 

Ha szándékunkban áll a NAP beveze- 
tése, akkor számoljunk azzal is, hogy több 


kiszolgáló-szerepkör is felkerül majd a ki 








üzemeltetők által részletesen han- 
golható ,vizsga" sikeres teljesíté- 
se esetén adja meg a hozzáférést 
a belső hálózathoz kapcsolódni 
szándékozó gépeknek. 

A NAP célja tehát az, hogy a 
routerek, switchek, a vezetéknél 
küli hozzáférési pontok, a szoft 
veres és az appliance (hardver- 
be épített célszoftver, például egy 
ISA Server 2006) rendszerek se- 


gítségével érvényesítse a végpont 





biztonságot. Mindezt úgy éri el, 

hogy lekérdezi a hálózatra csatlakozó eszkö- 
zök biztonsági állapotát (bekapcsolt tűzfal, 
AU-kliens, vírus/spywareirtó állapota stb.), 


majd ezt összehasonlítja az előre definiált 


6) Revocation Configuration 
7 9 Array Configuraton 
33 DC1.hb3.local 





B — —————i 

Online Responder: DC1.Ihb3.L... a 
Responder Propertjes 
Retarget Responder 










Onfne Responder Configuration 
Za Use this snap-n to configure and manage one or more certifinhate revocatijon res 





Online Responder Properties 


The Online Responder Management snap-n he Web Proxy ! Audit Securty 
status protocol ((ocsP) responders with one or ] l I 


- Manage cztákilló revocatjon con 


atjonz sees izma zstbedzt 2 rizÁersépást ko FA gaorszárári 
- Monitor the operating status mee membe 









caches responses. For more information on the Web proxy click 
- Manage Onine Responder Array members. help. 
You can limit the number of client regyests that can be processed at 
one time as Web proxy threads. Allowing fewer than 5threads is not 
Revocation Configuration Status recommended. 
Web Proxy Threads: B 
The Status pane identfies Onine peláptttéó 
that may need administrator attention. To ge" 
Note: You may need to dik hetest recent ch Orine R 4 
ÖsLana nöt regyestrtó ENESZESS EESSES MEL EBB Taosára beee LÖNNEA 
For more nformaton, 3ee Venfrna that a rev thatarev —— 10.000 cache entres is recommended. 


can cache responses locally. A lower cache size does not 
ensure that the Onlne Responder is contacted for every revocation 


[ooo 


63 DCIdd Boc sgr 






Cache entnes: 








Az Online Responder web proxy cache konfigurálása 


szolgálónkra. A függőségek miatt nem kell 
aggódnunk, mert a Server Manager korrekt 
módon megoldja az összes szükséges elem fel 


telepítését. 
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E BIZTONSÁG 


Network Policy Server (NPS). A 
Microsoft legújabb RADIUS-szerverimple- 
mentációja. Az NPS segítségével központilag 
képesek leszünk felügyelni a vezetéknélküli 
hozzáférési pontokat, a VPN-szervereket, a 
dialup szervereket és például a 802.1x szab- 
vánnyal dolgozó switcheket. Sőt, az NPS 
használható biztonságos jelszóhitelesítésre 
vezetéknélküli hálózatok esetén - a PEAP- 
MS-CHAPv2 protokollal. 


Health 
Statements 












Health 
Certificate 





A NAP-hierarchia 





NAP Policy Server. Az NPS egyik üzem- 
módja, amellyel a kliensek , egészségi" állapo- 
tát felmérő és az eredményt tároló csomagok 
(Statements of Health - SoH) kézbesíthetők. 

Az NPS-t használhatjuk RADIUS-proxy- 
ként is. Ekkor a kapcsolódási kérések to- 
vábbküldhetők a megfelelő kiszolgálóra. 

RRAS. Szintén felkerül a szerverre ez a ré- 
gi jó ismerős is, amely a sokféle kapcsolódási 
lehetőségért, illetve hálózati technológiáért 
felel (VPN, DUP, LAN-to-LAN, LAN-to- 
WAN, NAT stb.) 

Health Registration Authority (HRA). 
Egy olyan NAP-komponensről van szó, 
amely csak az IPSec típusú kapcsolódáskor 
szükséges. A kliens (ami ebben az esetben ti- 
pikusan valamilyen hardvereszköz lesz) egy 
- a megfelelt állapotát bizonyító - tanúsít 
ványt kaphat ettől a kiszolgálótól, az SoH-ké- 
rés kiküldése után. 

IIS7 - PKLinfrastruktúra. Szintén kö- 
telező elemek, már a telepítővarázslóban is 
konfigurálhatunk egy saját CA-t (persze ha 
már létezik, akkor használni is tudja a meg- 
felelő szervertanúsítványt). 

Host Credential Authorization Protocol. 
A Cisco hasonló (NAC, Network Admission 
Control) rendszere felé kapcsolatot teremtő 


komponens. 


Ki 


h ü 


etwork Access Devices 
and Servers 


Ezek után tisztázzunk egy-két ismeretlen 
fogalmat, illetve további elemet, amelyek a 
NAP-hierarchia részei (az első három foga- 
lom a kliensoldalra vonatkozik): 

System Health Agent (SHA). Feladata a 
Vista/XP rendszer alkalmasságának ellen- 
őrzése, majd ennek az információnak a je- 
lentése. 

Enforcement Client. A kliens kapcsoló- 


dási metódusát jelöli. Minden hálózati hoz- 





"Heakhpolicy 1 8 


Network" 

A 

! Roguostó a MS Network 
:§ Policy Server 





záférési típushoz egy-egy külön NAP EC áll 
a rendelkezésre. Ha például a klienseink a 
DHCP-vel kapcsolódnának a NAP-kiszolgá- 
lóhoz, akkor ezt kell engedélyeznünk. 
NAP-ügynök. Az EC-k és az 


SHA közötti információcsere bo- 





2 





sole1 - [Co 


sole Root NAP Client Configurationi n(Local Computer) lEnforcement Cbents)] 
fa re Acton View  Favorítes Window Help 


CI 


1. Vistánk a szokásos módon IP-beállításo- 
kat kér a DHCP-kiszolgálótól. 

1.1. Ha a kliens rendelkezik az SoH-val, 
akkor ezt a DHCP-kérelem már tartalmazza. 
A DHCtEsszerver az SoH-t továbbítja az NPS- 
kiszolgálónak, az pedig a Policy Servertől 
megtudakolja, hogy érvényes-e. 

, A" eset: ha igen, a DHCP-kiszolgáló ellát 
ja a klienst a komplett IP-konfigurációval, a 
kliens pedig korlátlan hozzáférést kap a háló- 
zathoz, és vége a folyamatnak. 
ha nem, akkor a DHCP olyan 


IP-paramétereket ad át a kliensnek, amelyek 


,B eset: 


csak a korlátozott hálózathoz biztosítanak 
hozzáférést. 

1.2. Ha a kliensnek nincs SoHja, akkor 
nem megfelelő, és ugyanaz történik, mint az 
előző pont , B" esetében, és jön a 2. pont. 

2. A kliens NAP-ügynöke frissítési kérelb 
met küld a nyitott hálózaton lévő javítószer- 
vernek. 

3. A javítószerver ellátja a klienst a meg- 
felelő javításokkal, és a kliens SolHja is ak- 
tualizálódik. 

4. Ismételt kérelem indul a DHCP-szer- 
ver felé, amely viszont már tartalmazza az új 
SolH-t - azaz kezdődhet elölről a vizsgálat. 

A Windows Server 2008 biztonsági meg- 


oldásai a fenti témakörökkel természetesen 











[69] si Am 


nyolítója. 





(E Console Root 


System — Health  Validator 
(SHV). Az SHALktól érkező je- 
lentéseket (SoH) ellenőrzi, és egy 


Az (8 Health Registration 
aal Reguest Policy 


válasszal (Statement of Health 
Response) jelzi, hogy a kliens 
megfelel-e vagy sem. 

Health Policy. A korlátlan és a 
korlátozott hozzáférések kritériu- 
mait írja le. A fenti Enforcement 
Clienteknek megfelelően több - 
IPSec, DHCP. stb. - szabályzat 
is létezhet. 

Accounts Database. Az adott hálózat fel 
használóinak és számítógépeinek tárolója, 
ami a legtöbb esetben a címtár lesz. 

Remediaton Servers. A , gyógyító" szer- 
verek, azaz amelyekhez a kliensek fordulhat 
nak a biztonsági állapotuk megfelelő szintre 
emelésének céljából. 

Végül nézzük meg, hogy mi történik egy 
működő NAP rendszerben, amikor a kliens 


DHCFP-vel szeretne kapcsolódni. 








EB gi NAP Cient Configuratjoní(Local Cor 
(3 Enforcement Cients 


(EJ User Interface Settngs FYI Y AGE 


(E Trusted Server Groups 


Enforcement Clients 


Settings 





B Remote Access eszszzzrsn Erforcement Cbert Distásó 
BZ IPSzc Relying Party Disabled 


New Window f... 


BE TS Gateway Ovarantne Enforcement Cliert — Disabled CG) Refresh 
B EAP Guarentne Enforcement Cient Disabled BH Hep 
DHCP Ouarantine ... A 

4), DHCP Guarantine Enforcement Cient ölel 

4 Mi 79617 Gi Refresh 

Name: DHCP Guarantine Enforcement Client 2] Properties 
Descipbon: Provides DHCP based enforcement for NAP [d He 

Version: 1.0 

Vendor: Microsoft Corporation 

Status: Enabled 





A NAP-kliens beállításai — történetesen egy WS08-on 


hiszen - többek között 
- a BitLocker, az IPSec, a Windows-tűz- 
fal, az RMS-kiszolgáló, az EFS újdonságairól 


szó sem volt, de természetesen a különböző 


nem merülnek ki, 


TechNeteseményeken ezek ismertetésére is 
sor kerül majd. 

Gál Tamás 
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Kelemen László 

(kelemencohungary.com) 
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Az Internet Information Services még az NI4-ben kezdte hosszú 


pályafutását, 1296-ban. Most már a hetes változatnál tartunk, 


ami a Windows Vistában debütált, és benne lesz a Windows Server 
2008-ban is — ezt a változatot tekintjük át cikkünkben. 


ár az NI3 alatt újabb és újabb verziókkal találkozhattunk szervizcsomagok formájá- 

ban. A 3-as IIS-változatban jelent meg az Active Server Pages- (ASP.) támogatás, ami 

nagyon sikeres lett, hisz a platformon ekkor lehetett először egyszerűen dinamikus 
tartalmat szolgáltató webalkalmazásokat fejleszteni. Utólag, fejlesztőként nézve, már van mit 
kritizálni rajta, de akkor ez tényleg nagy szám volt. Az Option Packnek nevezett csomagban 
már egy egészen használható webszerver volt, az IIS4. El lehetett szigetelni a  webalkalmazásban 
futó kódokat az IIS-től, ami megbízhatósági szempontból alapvetően fontos volt (úgyis bugos 
kódot írunk, készül rá a webszerver). A Windows 2000-rel jött az IIS5, ettől kezdve az IIS ösz- 
szeforrt egy-egy operációsrendszer-verzióval. Az IIS5 finomítása volt az előző verziónak, nem 
volt benne észveszejtő újítás, inkább teljesítmény- és megbízhatósági hangolást végeztek rajta. 

Ekkor jött a drsrámai bukás. A biztonsági rések miatt rendszeresen hekkelték az IIS4/5-öket, 
ami jelentős presztízsveszteséget okozott a Microsoftnak. A cég azonban kitartóan alkalmazza 
a nietzschei elveket: , Ami nem öl meg, erősebbé tesz". 

A Windows 2003-hoz kapcsolt IIS6 fejlesztése során brutális biztonsági kódátnézéseket vezet 
tek be Michael Howard vezényletével. Ekkor indult a Microsoftnál , Trustworthy Computing" 
belső és külső kampány, ami egyes cégek sokszor nagyképű és üres kampányával szemben való- 
ban ért is valamit. Az IIS6-ot kutyaerősre edzették, az eddig eltelt 4 év alatt csupán 3 hibát ta- 
láltak benne, és ezeket sem lehetett távolról kihasználni. Hihetetlen, hogy nagyon erős elszánt 
sággal az egyik biztonsági szempontból legrosszabb visszhangot kiváltó terméket ennyire jóra 
átírtak. Az IIS6 már sokkal gyorsabban tudta kiszolgálni az ASP.NETalkalmazásokat is, mivel 
architekturálisan felkészítették rá, szemben az IIS5-tel, ami még az ASP.NET I.0 előtt jött ki. 

Egyszóval az IISŐ nagyon jól sikerült webszerver lett. De akkor mi marad az IIS7re? 
Lássuk! 


Modularizált felépítés 
Az IIS7 a Vistában debütált, és ez lesz a Windows Server 2008-ban is, csak addig még tovább 


analizálják és javítják a biztonság és a teljesítmény szempontjából. A legfontosabb újítás archi- 


tekturális jellegű: darabokra szedték szét a 
szervert, modularizálták. Miért fontos ez? Az 
IIS6 többek között azért volt sokkal biztonsá- 
gosabb elődeinél, mert alapban csak nagyon 
kevés szolgáltatás volt engedélyezve rajta. 
Például tegyük fel, hogy ASPNETlapok ki 
szolgálására használtuk a szervert. Miért kel 
lene ekkor bekapcsolva lennie a klasszikus 
ASP-futtatónak? Mi van, ha pont a nem hasz- 
nált részben van egy biztonsági rés, és azon 
keresztül törik fel a kiszolgálót? 

Az IIS7ben nem kikapcsolva vannak a 
nem használt szolgáltatások, hanem fel sin- 
csenek telepítve a gépre! Azaz nem is lap- 
panganak a gépen DLL-szinten, várva arra, 
hogy a hacker engedélyezze őket, majd visz- 
szaéljen vele. 

Azt mondhatnánk erre, hogy ez nem nagy 
szám, át kellett írniuk a telepítőt, hogy több 
mindent lehessen fel-le rakni, és kész. A hely- 
zet azért nem ilyen egyszerű. Aki írt már 
nagyobb lélegzetvételű programot, az tudja, 
hogy a szoftver komponensei között füg- 
gőségek vannak. Ha A nincs fenn, B se fog 
menni. Nagyon tudatos tervezéssel és nagy 
fejlesztési fegyelemmel lehet csak azt elérni, 


hogy egy szoftvert szét lehessen szedni na- 
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Turn Windows features on or off 


To turn a feature on, select its check box. To turn a feature off, clear its 
check box. A filled box means that only part of the feature is turned on. 





I E Mi jú Internet Information Services 
a EI FTP Publishing Service 
TIJi FTP Management Console 
EJ FTP Server 
ga 7.4 Web Management Tools 

a [71.14 IS 6 Management Compatibility 
FIJú IS 6 Management Console 
FIJú IS 6 Scripting Tools 
(7.1). IS 6 WMI Compatibility 
EJjú IS Metabase and IIS 6 configuration compatibility 
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Ai. ASP.NET 

Ai CGI 
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JÓ ISAPI Filters 
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Common Http Features 
Ai Default Document 
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Al HTTP Errors 

A HTTP Redirection 
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jú Custom Logging 
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Static Content Compression 

Security 

jú Basic Authentication 

di Client Certificate Mapping Authentication 
Digest Authentication 

gú IS Client Certificate Mapping Authentication 
di IP Security 





1 Reguest Filtering 
Ai URL Authorization 
di Windows Authentication " 
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1. ábra. A moduláris felépítésű IIS7 








gyon sok pici darabra. Nos, az IIS7 közel 40 
darabra esett szét, ezeket egyesével lehet ki- 
be kapcsolni a telepítés során (1. ábra). 

Nem kell Basicautentikáció? Akkor ne is 
legyen a gépen, így biztos nem kapcsolják be 
véletlenül se rendszeradminisztráció során 
vagy rosszindulatúan távolról. Soha, senki 
sem használta a Digest hitelesítést? Akkor 
miért eszi a memóriát a kódja? Kiderül, hogy 
bug van a CGLfuttatóban? Na és, fel sincs 
rakva. Nem kell frissíteni a fel sem telepített 
komponenst, így a szerver nem áll le még pár 
perce se, nem kell újraindítani a hotfix miatt, 


és még a családunk is látni fog este 8-kor. 


Konfigurációkezelés 

A korábbi IIS-ek egyik bosszantó fogása volt, 
hogy a konfigurációs adatokat ügyesen el 
dugta az orrunk elől a MetaBase-nek neve- 
zett adatbázisába. Ebben az volt a , jó", hogy 
bináris formátumú volt, így ha behülyült 


(jaj, de értett hozzá még az IIS4), és nem 


NTI 


volt mentésünk, akkor lehetett újraépíteni a 
website-okat, virtuális könyvtárakat, egyebe- 
ket. Hamar megtanult mindenki MetaBase-t 
menteni. 

Az IIS6-ban már XML formátumú volt a 
MetaBase, volt nagy öröm. Azonban az egyik 
gond az volt vele, hogy a rajta leggyakrabban 
futtatott ASP.NET-nek megvolt a saját kon- 
figurációja machine.config vagy web.config 
fájlokban, míg a webszerver konfigurációja 
teljesen máshol, a MetaBase.xml-ben volt. 
Lehetett keresgélni, mi hol van. 

Ha valaki is ASP.NETfuttatásra 
használta az IIS6-ot, akkor is gonddal járt 


nem 


a konfigurációs feladat szétosztása, mivel a 
MetaBase egy nagy, centralizált XML állo- 
mány volt, így nem lehetett könnyen delegál 
ni például egy adott website konfigurációját 


bizonyos embereknek. 





figját szerkeszteni. Ez fontos dolog, nem kell 


mindenért rendszergazda után kiáltani. 


Adminisztráció 
Az elosztott konfigurációs XML állományo- 
kat nem kell feltétlenül kézzel szerkeszteni, 
van hozzá szép GUlL is (2. ábra). Mint látható, 
az egymás hegyén-hátán lakó tulajdonságla- 
pok már nem divatosak, helyette klasszikus 
Control Panelszerű retróstílus mellett dön- 
töttek az IIS admin tervezői (szólni kellene 
az Active Directory Users and Computers 
szerzőinek, sűrűbben kellene találkozniuk az 
IIS grafikusával). 

Ami nagyon jó, hogy szemben a korábbi 
IIS Managerrel, nem RPC-n keresztül megy 
be a webszerverre, ami miatt tésztaszűrőt kel- 


lene csinálni a tűzfalból, hanem HTTPS-en 





Pedig az ASPNEI-ben már ki 


volt dolgozva egy hierarchikus, el 


File — View Help 





, 7 , Connections 
osztott, web.config alapú konfigu- gi 
rációs rendszer, csak maga a web- 


szerver-konfiguráció maradt mono- "a 


a -Ú7 SOCIVISTA (socivistalzsolt.soczo) 


(4 Default Web Site Home 


Group by: Area v B- 


(62 Application Pools 
4 -(űl Web Sites 


Default Web Site 


D-L2 alma 


o. -K App. Data 


litikus. 


p -KE aspnet client 


D -(EI Clarity 


Nos, az IIS7-ben nemcsak a fut 
tatható komponenseket modulari- 
zálták, hanem a konfigurációkeze- 
lést is. Egy minimális központi kon- 
fig persze maradt, 32 bites gépeken 
a — 9owindir9oSystem32NnetSrvv 
configvApplicationHost.config fájl. 

Erre szükség van, mert valahol 
csak le kell írni, milyen website-ok 
és milyen application poolok (pro- 
cesszek, amelyek betöltik és fut 
tatják a webalkalmazások kódját) 


vannak a szerveren, illetve van- 


b A hemi 


(E) hosting 
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nak egyesével nem állítható jel 
lemzők, mint a naplózás vagy a 
HITEtömörítés, ezeket továbbra 
is csak egy helyen lehet konfigurálni. Ezek az 
ApplicationHost.config  system.application- 
Host szekciójában laknak. 

Másrészt itt vannak az alapbeállítások, 
amelyeket az új website-ok örökölnek, de sza- 
bályozhatóan átállíthatnak - a system.web- 
Server szekció. Így már külön állományok 
ban lehet konfigurálni az egyes website-ok 
jellemzőit, elosztottan (egyesével szabályoz- 
ható, mit lehet felülírni alacsonyabb szin- 
ten), ráadásul nem kell adminnak lenni a 
gépen, csak, hogy legyen joga valakinek a sa- 


ját kis sitejának vagy könyvtárának web.con- 


2. ábra. A konfigurációs felület 


keresztül, amihez egyetlen apró lyuk is elég a 
tűzfalon, és , mellesleg" még biztonságos is. 

Sőt, a hitelesítéshez felhasználható az 
ASP.NET Membership felhasználói adatbá- 
zisa is, így az adminisztrációnak nem kell 
Windows-felhasználóhoz kötődnie. 

Aki programozottan szerette volna az IIS-t 
adminisztrálni, az általában kis scriptkódo- 
kat írt, és ez persze sok rendszergazdának 
nagyon életidegen tevékenység volt. I[IS7-ben 
kapunk egy appcmd.exe-t, ami meglepően 
sokat tud, így jól használható batch-fájlok- 


ban. A parancsok nagyon jól paraméterezhe- 


Sv 





tők, a célobjektumok keresésekkel jól meg- 
tagadhatók, 

Például rögtön egy egzotikummal kezdve 
az éppen futó kérések listáját láthatjuk (a la 
SOL Server Profiler): 


CAWindowstystem32Vnetsrv— APPCMD list regvests 
REOUEST , fc0000008000001€" (url:GET / 
WilsonUldemo2/, time:3266 msec, client:localhost) 
REOUEST , f10000008000000£" (url:GET / 
WilsonUldemo2/, time:3204 msec, client:localhost) 


Vigyázzunk, hogy valóban rendszergazda- 
ként futtassuk a parancsot, különben furcsa 
hibát kapunk, aminek semmi köze a jogo- 
sultság hiányához. 

Aki tényleg programozottan szeretné kon- 
figurálni az IIS7-et, az használhatja a fel 
ügyelt kódú adminisztrációs objektumokat 
a Microsoft.Web.Administration névtérből 
vagy a WMLinterfészt. 

Zseniális, hogy hibák esetén nemcsak egy 
hibakódot lök az ember arcába a szerver, ha- 
nem javaslatot is ad a megoldásra. Például, 
megszokásból felépítettük a web.configot egy 


modul betöltésére: 


Zsystemweb— 
chttpModulesz 
add name—" Rewiter" 
type— IISZTest.UrlRedirectModule /— 
c/httpModulesz 
/system.web— 


Erre jött egy igen részletes hibaüzenet (3. 
ábra), amelyben leírják mi a gond, és milyen 
alternatív lehetőségeink vannak a hiba felol 
dására. Ott a kész parancs a probléma felol 


dására, már csak le kell futtatni! Ez tetszik. 


Programozási felület 

Az IIS tulajdonképpen egy nagyteljesítmé- 
nyű, többszálú HITIP-protokollkiszolgáló. 
Az összes plusz tudása - mint az ASP.NET-la- 
pok futtatása - külső modulokban van meg- 
valósítva. IIS6-ban a statikus fájlkiszolgálás 
még a szerver része volt, az IIS7-ben még ezt 
is külső modul valósítja meg. Ezeket a modu- 
lokat tradicionálisan az ISAPI nevű interfész 
felhasználásával implementálták, C---ban. 
Ilyen volt az ASPfuttató is, de a .NET integ- 
ráció is egy ISAPI DLL-ben volt implemen- 


tálva. Ez utóbbiból jól látszik, hogy az ISAPI 
interfész a legközvetlenebb csatlakozási pont 
a szerverhez, míg például az ASP.NET is csak 
alkalmazása ennek. Ez amellett, hogy Íruszt 
ráló lehet a .NELprogramozók számára, 
egyes esetekben valódi gondokat okozhat. 
Az egyik gyakori feladat például statikus 
tartalom, html, pdf, képek stb. védelme az 


File Edit View — History  Bookmarks Tools Help del.icio.us 


HTTP Error 500.0 - Internal Server Error 


zsystem.web:/ chttpModulesz configuration section. Instead, it should use the 


the following options: 


command line window (the window must be running as Administrator): 


(the window must be running as Administrator): 


S/osystemroot9olsystem321inetsrv N APPCMD.EXE set app "Default Web 
Site/IISZTest" / applicationPool:"Classic .NET AppPool" 


Administration tool to move this application to another application pool. 


provided by the Integrated .NET mode. 

Error Code: 0x30070032 

Notification: BeginReguest 

Module: ConfigurationValidationModule 

Reguested URL: http://localhost:80/is7test/?prodcodezalma 


e IS 7.0 Detailed Error - 500.0 - Internal Server Error - Mozilla Firefox . 


Description: This application is running in an application pool that uses the Integrated .NET mode. This is 
the preferred mode for running ASP.NET applications on the current and future version of IIS. 


In this mode, the application should not specify ASP.NET module components in the 


zsystem.webServer:/ cmodulesz configuration section to load ASP.NET module components. You have 


1) Migrate the application to work with the Integrated .NET mode (PREFERRED). 


You can migrate the application configuration, including the contents of the chttoModulesz configuration section, by using the following from a 


O/osystemroot"olsystem321inetsrvN APPCMD.EXE migrate config "Default Web Site/IISZTest" 


After you migrate your application, it will run in both Classic and integrated .NET modes, as well as on downlevel platforms. 


2) Move this application to an application pool using the Classic .NET mode. 


You can move the application to the default application pool using the Classic .NET mode by running the following from an command line window 


Alternatively, you can use any other application pool on your system that is running in the Classic .NET mode. You can also use the IIS 


It is preferred that you migrate this application by using option 1 to take advantage of the benefits 
od 





A teljes ASP. NELintegráltság ellenére az 
ISAPI interfész továbbra is rendelkezésre 
áll, ráadásul jóval egyszerűbb lett, és sokkal 
biztonságosabb a használata. Miért volt ed- 
dig veszélyes? Mert natív kódról beszélünk, 
kézi memória- és erőforrás-menedzsment 
tel, amelyben elég könnyű elfeledkezni egy- 
egy lefoglalt memóriablokk felszabadításá- 
ról, vagy handle lezárásáról. 
Közönséges alkalmazásoknál 
ebből nincs mindig dráma, 
de szerverek esetén, ahol na- 
ponta sok ezer vagy millió 
kérést szolgálnak ki, a hibák 
hatásai összeadódnak, és a 
szerver a programozó karmá- 
jának áldozata lesz. 

Az új ISAPI interfészben 
az IIS allokálja és szabadítja 








fel a memória zömét, így ki 
sebb felelősség hárul a fejlesz- 
tőkre, kisebb a valószínűsége 
a memóriát szivárogtató prog- 


ramoknak. Emellett már nem 





Done 





3. ábra. Beszédes hibaüzenetek és megoldási javaslat 


ASP.NEI Forms hitelesítésével. Sajnos ez 
nem olyan egyszerű IIS7 előtt, mivel csak 
egyes kiterjesztéseket - mint aspx, asmx stb. - 
dolgozott fel az ASPNET futtató, a többit az 
IIS direktben szolgálta ki. A nem ASPNELC 
fájlokat is lehet védeni, de ahhoz át kellett 
konfigurálni az IIS-t, hogy az egyéb fájlkiter- 
jesztések is az ASP.NELmotorba fussanak be. 
E kérések kezelése nem minden esetben egy- 
szerű vagy kivitelezhető. 

Az IIS7-ben létezik egy új feldolgozási 
üzemmód, amelyet Integrated Mode-nak 
hívnak. Ebben már az ASP.NET ugyanolyan 
képességekkel rendelkezik, mint az ISAPLalb 
kalmazások, így például egy ASP.NET mo- 
dul minden további nélkül szabályozhatja a 
hozzáférést bármely nem ASP.NETfájlhoz. 
Megszűnt az IIS-ASP.NET kettősség, a ket 
tő valóban teljes mértékben egybeolvadt. 
Integrált módban egymás után lehet kötni 
például egy natív Crr-modult, valamint egy 
ASP.NET-modult, és mindkettő dolgozhat az 
összes fájltípuson, nemcsak a maroknyi re- 
gisztrálton. 

Kompatibilitási okokból a régivel azonos 
körülmények között működtethetők a régeb- 


bi alkalmazások a Classic üzemmód alatt. 





sík függvényekkel, C alapon 
kell programozni, hanem ob- 
jektumorientáltan, Cttosz- 
tályokkal, így a saját adataikat is egyszerűbb 
kezelni az egyik legfontosabb erőforrás-szer- 
vezési Ctit.alapelv, a Resource Acguisition Is 
Initialization (RAID felhasználásával. 


Biztonság 

Mint már szó volt róla, az ASPNELmodu- 
lok működnek nem ASP.NET-hez rendelt 
tartalomra is, így az ASP.NET Forms hite- 
lesítése bármilyen tartalomra használható, 
anélkül, hogy minden kérést az ASPNEL 
motorra kellene terelni. Így nem kell kéz- 
zel kezelni a statikus fájlok és a dinamikus 
tartalmak kiszolgálását, mégis védhetők az 
erőforrások a Forms hitelesítéssel. Ez igen 
hasznos, mert így a védett statikus fájlokat 
jóval gyorsabban lehet kiszolgálni, mint ha 
mindent az ASP.NEI-motor kezelne. 

Az IIS7 kapott két szerviz fiókot az anony- 
mous kérések  megszemélyesítésére: egy 
IIS IUSR felhasználót és egy IIS IUSRS 
csoportot. Mindkettő rögzített SID-del ren- 
delkezik, azaz minden gépen ugyanazzal a 
SID-del szerepelnek. Ez azért jó, mert így a 
fájlokra adott jogosultságok átvihetők má- 
sik gépre, nem kell az ACL-eket migrálni. 


Tesztgépről végleges szerverre költözéskor, 
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illetve webfarm új gépének beállításakor na- 
gyon hasznos, hogy most már van az IIS-nek 
beépített felhasználója. 

További hasznos jellemzője a beépített fel- 
használónak, hogy nincs jelszava, így az nem 
jár le, illetve nem esik ki a 


.C-unetoubVogsíf ai 


szinkronból a valódi jelszó és az 





IIS által ismert. 
Az eddigi URLScanhez ha- 


sonló beépített szolgáltatás a pcsáa; 
Authentication: 
User from token: 
Activity ID: 
Failure Reason: 
Final Status: 
Time Taken: 


urt: 


Reguest Filtering, amellyel kor- 


látozható a kérések, illetve az 


URL-ek hossza stb. Egy újabb 


ső —. cvinetpubtlogstFailedRegLogFileAW3SVCIVT000001.xmi e 
Úr dr él cNinetpubUogAFailedReglogFileAWBSVCIO0.. 1 


bizonyos (?ueryString paraméterek mellett. 
ASPlapként implementálva csak az ADPlus 
segítségével sikerült kinyomozni, mely lapok 
és mely paraméterek mellett volt beteg, és 


egyáltalán, melyik lap okozott gondot. 


E ERVS] vege 


la] e] x J 


kedvelők a 4. ábrán láthatnak három lassú 
kérést. 

Érdekes látni az éppen futó kéréseket, 
de aligha valószínű, hogy valaki főállásban 
szeretné őket sasolni. Csak naplózással egy- 
beépítve igazán hatásos ez a 
szolgáltatás. Az IIS6-ban a 
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Windows 2003 SPI részeként 





IIS Diagnostics Output 


http://localhost:80/IISZAuth2/lassu. aspx 
DefaultAppPool 

816 

anonymous 

NT 

£00000000-0000-0000- 3000-0080000000F 7) 
TIME TAKEN 


200 
2984 msec 


IIS Trace Detall Highlights 
No. EventN 


ame Detalls Time 


már volt egy Event Iracing 
szolgáltatás, ezt fejlesztették to- 
vább az IIS7-ben. Erre építették 
I fel a Failed Reguest Iracing 
Feature-t, rövidítve a FREB-et. 








védelmi szint a hackerek ellen. kellő SAS BZENTNNSENEZTEN ENE TESTE Paraméterezhető, hogy milyen 
iteld—1", - , Connid— 140", Raw 2"38083148", 
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ű 4 é 4. FT TER-SET. RFOLHEADER 3 HeaderName-"AspFilterSessionld:", HeaderValue-—" 19:48:54.173 jé 4 úk 
applicationHost.config reguest 5. Ő FILTERPREPROCLHEADERS, END 19-á0-58179 got a kérésről. A logok alap- 
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9. Ő) — GENERAL GET. URL. METADATA PESESEZÉZE KÉS BTS ASZ GOTTSZÁL ÉSZ Zát AccessPerms-—513" 19:48:54.189 
letve a Jowindir9oSystem32N 10. (3 NOTIFY MODULE START ModuleameZRegvestfilerinyModule", Notification BEGIN REGVEST , 19:40:54.540 mátumban: CNnetpubWVogsN 
, 8 11. Ob NOTIFY MODULE END ModuleaNames"ReguestfilterinigModule", Notificatione"BE EST, 19:48:54.548 , , 
inetsrvvconfigyschemaNIS ggg egesz zengzetes Modudottseme ony sor ysádotlortodkér , Notlácatlon e BEN ABAVSST VEK eke FailedgegLogFilessW3SVCIN 
tm. KESZ SZ EKE ENENENENEA 
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6 0 MENO ST KS ter táTÉTt NETTO mannát 
15. (B NOTIFY MODULELEND ModuleName-—FailedRegvestsTracingModule", Notification— BEGIN. REGVEST", 19:48-54.548 t í Intern et Ex I orer al att 
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zetben hajtják végre a kéréseket, 
néha igen nehéz kitalálni, mitől 
áll le a kiszolgálás. Nem triviális 
hibára kell gondolni, amikor kivétellel elszáll 
egy lap, azt amúgy is központilag szokás kezel 
ni és a megfelelő értesítéseket elküldeni. Sok 
kal aljasabb hibák keletkeznek, amikor vala- 
miért a worker threadek összeakadnak vagy le- 
állnak. Bár sok szál fut egyszerre, ha egy bugos 
kód megállít egyetkettőt deadlock vagy vala- 


milyen hosszú idejű folyamat miatt, és ugyan- 


5. ábra. Egy lassú kérés nyomai 


ASP.NET alapon már lehetett írni olyan 
modult, amelyik megmutatta, mely lapok 
végrehajtása tartott tovább egy adott időnél, 
ASP alatt ezt csak ISAPI filterrel lehetett vol 
na megoldani. 

Az IIS7 sokat fejlődött diagnosztika te- 
rén. Írtak hozzá egy Runtime State and Con. 


trol APLt, RSCA-zat, amit Riskának ejtenek 
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4. ábra. A futó lekérdezések állapota 


ez a kérés ismétlődő módon befut a szerverhez 
(a legtöbb kérés nyilván ilyen), akkor pár perc 
alatt leállíthatjuk az összes szálat. 

Egyszer egy rosszul megfogalmazott regu- 


láris kifejezés miatt állt le egy lap, de csak 


rt 


: 91 JAV 














(tényleg). Ezzel amellett, hogy megnézhető az 
Application Poolok és egyéb komponensek 
állapota, az aktuálisan végrehajtott kérése- 
ket is láthatjuk. A korábbi appcmd-s példa 


is erre épít a háttérben, a grafikus felületet 


válaszkódok esetén szeretnénk 

lenyomatot, például csak a 

404-es hibák érdekelnek, azaz 
a hiányzó erőforrások miatt fellépő hibák. 
Másfelől azt is meg lehet adni, hogy nem ér- 
dekes a státuszkód, de ha a kérés több mint 
X másodpercig fut, akkor legyen róla infor- 
mációnk. Ezzel lehet kiszűrni a lassan futó 
lapokat, amelyek blokkolást okozhatnak a 
szerveren. 

Egy lassú kérés nyomát láthatjuk az 5. áb- 
rán. 

A logokat időnként elemezve még a na- 
gyobb baj bekövetkezte előtt ellenlépéseket 
lehet tenni, például optimalizálni az SOL-le- 
kérdezéseket, mielőtt a látogatók jelzik, hogy 


használhatatlanul lassú a website-unk. 


Zárszó 

Az IIS7 a Vista egyik legszebben felépített 
komponense. Mivel a Vista asztali operációs 
rendszer, egyelőre még csak tesztelni, tanulni 
lehet, majd a Windows Server 2008 lesz az, 
amiben már élesben is be lehet vetni. Addig 
is érdemes szemezgetni vele, és a jövőre kibo- 
csátandó alkalmazásoknál már meggondolni 

az új szolgáltatások kiaknázását. 
Soczó Zsolt 
MCSD, MCDBA, MCT, ASP.NET MVP 
(zsolt.soczo Ogmail.com) 
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FEJLESZTŐ SZEMÉVEL 


Szinte lehetetlen feladat a sok-sok év munkájaként megszülető új 


szerver fejlesztői újdonságainak rövid bemutatása — most mégis 


megkíséreljük ezt a legérdekesebb funkciók kiemelésével. 


smerkedésünket az új rendszerrel érdemes az architektúra blokkvázlatának tanulmányozá- ! 6.0) használatának lehetősége, ami már telje- 


sával kezdeni. Rögtön látható, hogy a Windows Server 2008 integrált része a .NEI keret ! sen XML alapú - ez is tökéletesen kezelhető 


rendszer hármas változata (és alapból fel is van telepítve) - így bátran hozzáláthatunk a ! felügyelt kódból, és jól ráépíthetünk automa- 


Windows Presentation, Communication és Workflow Foundation vagy a Windows Cardspace ! tizáción alapuló, eseményvezérléssel működő 


alapú fejlesztésekhez. Ha alkalmazás- és webszerverre is szükségünk van, rendelkezésünkre áll ! megoldásokat az új Task Scheduler API segít 


az Internet Information Services 7.0, mint a Windows Server 2008 egy opcionálisan telepíthe- ! ségével. Kihasználhatjuk a WS-Management 


tő szerepköre. Szintén az alkalmazásplatformhoz kapcsolódik az MSMO 4.0-s változata. protokollt is, hogy tűzfalbarát módon tud- 


Uzemeltetésre készített szoftver 
Menedzsmenttechnológiák terén is jó néhány új 
képességgel találkozhatunk. Jól látható, hogy a 
Dinamikus Rendszerek Kezdeményezés a Windows 
Server 2008-at is elérte, itt különös tekintettel az 
üzemeltetésre készített szoftver koncepciójára gondo- 
lunk. Ennek a megközelítésnek az a lényege, hogy a 
fejlesztők a szoftvereik elkészítésekor - már jó előre 
gondolkodva - úgy végzik el a tervezés és fejlesztés 
lépéseit, hogy a kész rendszer könnyen telepíthető, 
üzemeltethető, felügyelhető legyen. Ha nem kell saját 
adminisztrációs felületeket, illetve scriptfuttató és 
-értelmező környezeteket építenünk, valamint rendel 
kezésünkre áll egy jól működő, hibakeresésre fóku- 
száló platform, akkor máris könnyebb az életünk. 

Az ehhez szükséges technológiák között előkelő 
helyet foglal el a Microsoft Management Console 


junk rendszerfelügyelettel kapcsolatos kom- 


Alkalmazásplatform 
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Integrált Hypervisor 





A Windows Server 2008 fejlesztői újdonságainak blokkvázlata 


3-as változata, amelyhez mi is készíthetünk saját snap-ineket, ráadásul most már felügyelt, ! munikációt végezni szoftvereink között - er- 
.NETes kód írásával is. Az MMC 3.0-s felületek alá pedig saját PowerShellbscripteket és ! re épül egyébként a WinRM/WinRS páros 
providereket is készíthetünk, így kiszolgálhatjuk saját alkalmazásunk és a rendszergazdák igé- ! is, amellyel a távoli parancssoros felügyelet 


nyeit egyaránt. Szintén ide kapcsolódik a továbbfejlesztett eseménynapló (Windows Eventing ! valósítható meg. 


Microsoft TechNet 








Ide kapcsolódik még, hogy kihasznál 
hatjuk a Windows Server 2008 Terminal 
Services szerepkörének képességeit, és ké- 
szíthetünk olyan alkalmazásokat is, amelyek 
felhasználói felülete a kliensen jelenik meg 
ugyan, mégis minden a háttérben a szerve- 
ren zajlik (Remote Programs). Ezzel kapcso- 
latban számtalan újítás történt, ez leginkább 
a Ierminal Services szerepkörnek és az új 
Remote Desktopnak köszönhető. Mindezen 
technológiák rendszergazdák számára érde- 
kes vonatkozásairól már részletesen esett szó 
a TIechNet Magazin korábbi cikkeiben - a 
legfontosabb változás most az, hogy ezeket a 
fejlesztők akár saját alkalmazásaik szerves ré- 


szévé tehetik a jövőben. 


Helyreállítás 

A Windows Error Reporting (WER) lehető- 
sége és működése nem újdonság a Windows 
Server 2008-ban, ellenben az, hogy ezt sa- 
ját hasznunkra is fordíthatjuk, már igen. A 
platform részeként elérhető API segítségével 
saját jelentéseket készíthetünk egyedi hiba- 
események bekövetkeztekor (nemcsak akkor, 
ha leállás következik be), vagy akár egyénire 
szabhatjuk a hibavisszajelző ablakok felüle- 
tét, tartalmát is. A hiba feladása után pedig 
a saját terméktámogató weboldalunkra is 
irányíthatjuk a felhasználókat, ahol meg- 
nézhetik, hogy az előforduló hibáikra szü- 
letette már megoldás, illetve, hogy milyen 
lehetőségeik vannak további segítség igény- 
be vételére. 

A Recovery olyan lehetőség, amellyel az al- 
kalmazás egy kritikus hiba előfordulása ese- 
tén még megmentheti a felhasználó vagy a 
rendszer számára kritikusan fontos informá- 
ciókat. Miután az alkalmazás a megfelelő he- 
lyeken beregisztrálta magát, leállás esetén az 
adott rutinok még az erőforrások (fájlok, me- 
mória stb.) eleresztése előtt meghívódnak, és 
lehetővé teszik az adatok összegyűjtését, elt 
mentését, az erőforrások felszabadítását. Az 
alkalmazásnak még arra is lehetősége nyílik, 
hogy a hiba előfordulása után újraindíttassa 
magát. A Restart Manager segítségével pedig 
minimalizálhatjuk a telepítések és rendszer- 
változtatások következtében szükségessé váló 


rendszerújraindítások számát. 


Konkurenciakezelés 
A szálak rendezésével és a szálak csoportjai 


nak kezelésével kapcsolatban is sok újdonsá- 


(NN 


got találhatunk, ezek közül különösképpen 
azok az érdekesek, amelyek az eseményekre 
sokat várakozó alkalmazások számára jöt 
tek lére. Az ilyen alkalmazások szálai lét 
rehozásuk után sok időt töltenek várakozó 
állapotban egy-egy esemény bekövetkeztére. 
Alkalmazásainkban egyes szálakat időzítet 
ten felébreszthetünk, hogy állapotokat ellen- 
őrizzenek vagy állítsanak be. 

A korábbról már jól ismert TIhread Pool 
technológiában megjelenő új APl-készlet szá- 
mos új lehetőséget rejt, mind rugalmasság- 
ban, mind a követhetőségben túllépi a régit. 
Például a hibakeresést nagyban megkönnyí- 
ti, hogy a számunkra érdekes szálak akár fo- 
lyamatosan is nyomon követhetők, vagyis a 
debuggert utasíthatjuk arra, hogy a szál ne 
kerüljön várakozó állapotba addig, amíg mű- 
ködését vizsgáljuk. Emellett lényegesen kibő- 


vültek az imperszonációs lehetőségeink is. 


Tranzakciós fájlrendszer és registry 

Ez egy nagyon érdekes és újszerű téma, ér- 
demes tehát egy kicsit részletesebben is el 
merülnünk benne. A tranzakciók kezelését 
eredetileg az adatbázisokhoz fejlesztették ki, 
és több, szorosan összefüggő 
problémára próbált meg vá- 
laszt adni egyszerre. A tranzak- 
ciók négy alapvető célkitűzése 
röviden az ACID-jellemzőkkel 
írható le. A tranzakciók bizto- 
sítják az összetartozó művele- 
tek egyszerre történő érvénye- 
sítését (Atomic), a tranzakciók 
végrehajtása utáni adatkonzisz- 
tenciát (Consistent), az egyes 
folyamatok átmeneti inkonzisz- 
tens állapotának más folyama- 
tok előli elzárását (Isolation) 
és a műveletek eredményének 
tartósságát (Durability). 

A tranzakciók használatával lehetőségünk 
van arra, hogy a rendszerünk teljesítmé- 
nyén, konzisztenciáján vagy konkurenciáján 
növeljünk - természetesen mindre egyszerre 
nincs lehetőség, de adatbázis-kezelő rend- 
szereknél mi magunk dönthetjük el, melyik 
számunkra a fontosabb adott esetben. Ezzel 
részletesen foglalkozott a TechNet Magazin 
egy korábbi cikke az SOL Server 2005-re vo- 
natkoztatva. 

Felmerülhet a kérdés, hogy miért csak adat 


bázisok esetén használjuk ezeket a technoló- 


E ! Xg 


an 


giákat? Korábban a Microsoft már lehetősé- 
get adott arra, hogy a Microsoft Distributed 
TIransaction Coordinator segítségével össze- 
köthessük különféle platformok és szoftve- 
rek tranzakcióit, azonban a tranzakciók ke- 
zelésére továbbra is csak adatbázisszerverek 
(például SOL Server 2005), illetve rend- 
szerintegrációs megoldások (mint például a 
Bizlalk Server 2006) esetén volt lehetősé- 
günk beépített módon - csak ezek ismerték 
igazán a tranzakció fogalmát. Iermészetesen 
saját fejlesztéseket is kapcsolhattunk a DTC- 
hez, de ennek korrekt megvalósítása nem 
minden esetben a legegyszerűbb feladat. 

A Windows Server 2008-ban a tranzakció- 
kezelés a Kernel egyik alapképességévé vált 
(Kernel Iransaction Manager - KIM), így 
bármilyen folyamat vagy változtatás, ami a 
rendszerben történik, elméletben körbefog- 
ható tranzakciókkal. Ott még nem tartunk 
ugyan, hogy az operációs rendszer valameny- 
nyi erőforrása képes legyen ezt kihasználni 
(például a rendszermemóriát még nem ke- 
zelhetjük tranzakcionálisan), de két fontos 
erőforráscsoport már kihasználja ezt az új 


lehetőséget. Az egyik a fájlrendszer, a tran- 





A tranzakciós infrastruktúra a Windows Server 2008-ban 


zakcionális NIFS (I.NTFS), a másik pe- 
dig a tranzakcionális rendszerleíró adatbázis 
(Iransact Registry). 

Mindkét megoldás a Common Log File 
System technológiájára és a KIM-re épít. 
Maga a KIM jól skálázható a kis alkalma- 
zásoktól a komolyabbakig, biztosítja az al 
kalmazások, a tranzakciók és a tranzakció- 
típusok közti izolációt, hogy mindig kon- 
zisztens adatokat láthassunk. Az SMB 2.0-s 
protokoll használatával lehetőségünk nyílik 


arra is, hogy a fájlműveleteink más gépekre 


sk 








is átnyúljanak, valamint mindkét új techno- 
lógia részt tud venni a DTC-s elosztott tranz- 


akciókban. 


A gyakorlatban 

Az elméleti síkról váltsunk a gyakorlatra! 
Konkrétan mi fog másképpen működni en- 
nek következtében a fájlrendszerben és a re- 
gistryben? 

A fájlrendszer és a registry izolációs szintje 
, Read Committed". Az SOL Server 2005-ös 
adatbázisok esetében is ez az alapértelmezett 
izolációs szint, így az azt használóknak ez a 
működési elv nagyon ismerős lesz. 

Fájl vagy  registry-kulcs módosítása. 
Gyakori és egyszerű művelet. Persze, ha köz- 
ben hiba történik az alkalmazásunkban, és 
emiatt a fájl vagy a registry-kulcs módosítása 
félbemarad, az eredmény akár katasztrofális 
is lehet. Az üzletileg kritikus alkalmazások 
pont ezért végezték eddig ilyen műveleteiket 
fájlátnevezések és -másolások útján, biztosít 
va a folyamatos konzisztenciát - de erre most 
már nincs szükség, hiszen a tranzakcionális 
fájlrendszer lehetővé teszi az automatikus vé- 
delmet. Például ilyen esetekben a változtatás 
valamennyi lépésének legvégéig az adataink 
eredeti állapotukban maradnak, és kizáró- 
lag akkor fognak megváltozni fájljaink és re- 
gistry-kulcsaink, ha minden lépés hibátlanul 
lezajlott. 

Konkurens írás és olvasás. Az előző pont 
ban leírt művelet kapcsán nemcsak azt nyer- 
jük, hogy nem hagyunk ott magunk után 
esetlegesen félbehagyott módosításokat, ha- 
nem azt is, hogy amíg mi módosítunk az ada- 
tokon, addig más alkalmazások továbbra is 
hozzáférhetnek az eredeti, semmilyen más al 


kalmazás által végzett tranzakcióban történt 
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módosítással nem rendelkező változathoz. A 
fájl vagy registry-kulcs írása nem kell, hogy 
az adott fájl olvasás elől való lezárását ered- 
ményezze, az továbbra is olvasható marad a 
régi tartalommal a tranzakció lezárásáig. A 
tranzakciós rendszer az erőforrások jellegé- 
nél fogva egy tranzakcionált író és akárhány 
olvasó egyidejű jelenlétét teszi lehetővé egy- 


egy erőforráson - viszont a tranzakció meg- 


nyitása után a nem tranzakcióban lévő írá- 
soknak várniuk kell. 

Több fájl vagy registry-kulcs együttes 
módosítása. Ugyancsak gyakran előforduló 
művelet, hogy fájlmódosításokat, átnevezé- 
seket együtt kell kezelni, például egy webol 
dal átnevezését és a többi fájlban az oldalra 
mutató linkek módosítását. A tranzakcióba 
történő foglalás lehetővé teszi, hogy hiba 
vagy közben előforduló más probléma (akár 
a felhasználó által a művelet megszakítása) 
esetén gyorsan és egyszerűen konzisztens és 
helyes állapotba hozhassuk a rendszert. 

Fontos kiemelni, hogy a tranzakciók hasz- 


nálata opcionális, valamint szükség van hoz- 
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Rengeteg újdonság érkezik a Windows Server 2008-ban 


zá alkalmazásaink átírására is. Természetesen 
használata a tranzakcióban részt vevő fájlok 
számának és méretének arányában többlet 
erőforrásokat igényelhet, azonban az álta- 
la nyert előnyök ezért kárpótolnak minket. 
A tranzakciók megtervezésekor ugyanúgy, 
mint az adatbázisok esetén, érdemes a tranz- 
akciós ablakok méretét a lehető legkisebbre 
venni, hogy minimalizáljuk az erőforrások 
felhasználását. 

Ami még külön érdekes: a használható 
hardveregységek listája messze túlmutat a 
szokásos eszközökön, akár arra is lehetősé- 
günk van, hogy NIFS-re formázott USB- 


meghajtónkat bevonjuk a műveletekbe. 


ri. 
Hálózat 
Továbbra is támogatott lesz a Iransport 


Driver Interface az alacsony szintű kommuni 


káció programozására, azonban annak levál- 
tására egy lényegesen egyszerűbb és nagyobb 
tudású Winsock Kernel (WSK) érkezik. 
Emellett rendelkezésünkre áll a Windows 
Filtering Platform (WEP) API is, ami egysé- 
ges felületet biztosít a hálózati forgalom szű- 
résére, feldolgozására és transzformálására. 
Ennek segítségével végre közös platform áll 
Össze, így most már az operációs rendszer is 
pontosan látja, hogy mely alkalmazás milyen 
portokon és milyen protokollok segítségé- 
vel kommunikál. Nem ok nélkül épül erre a 
technológiára a Windows Vista tűzfala is. Ha 
WEP-n alapuló alkalmazásokat készítünk, le- 


hetőségünk nyílik arra is, hogy könnyedén 


s A .NET Framework legújabb (3.0-s) verziója 
s Windows Activation Service (WAS) 
s Az IIS új, moduláris felépítésű verziója, az IIS 7.0 


e WS-Management és WinRM/WinRS 

e Microsoft Management Console 3.0 
e Task Scheduler 2.0 API 

s Remote Programs (Terminal Services) 


e Tranzakciós fájlrendszer (TxF) 
e Tranzakciós registry (TxR) 
s Kernelbe épített tranzakciós szolgáltatás (Kernel Transaction Manager) 


s Thread Ordering Service 
e Thread Pools 


e Windows Error Reporting (WER) 
e Application Recovery és Restart 
e Restart Manager 


e Windows Filtering Platform (WFP) 

s Újgenerációs TCP/IP alrendszer, IPv6 támogatás 
e Service Discovery API 

e Eszközökön futó webszolgáltatások 


s Remote Differential Compression (RDC) 
e Common Log File System (CLFS) 
e Teljeskörű szimbolikus link támogatás 


hozzunk létre saját tűzfalszabályokat, és ki 

használhatjuk az IPSec infrastruktúrát is. 
Ezen kívül a fejlesztők újratervezték a 

teljes hálózati stacket is, ez most a Next 


Generation TCP/IP 
Legfontosabb előnye, hogy egyaránt és egy- 


stack nevet viseli. 


formán támogatja minden hálózati szolgál 
tatás esetében az IPv4 és IPvő alapú kommu- 
nikációt is. 

Az újdonságok listáját hosszan folytathat 
nánk még, hiszen várhatóan vaskos könyvek 
íródnak majd ezekről, azonban jól látható, 
hogy számtalan hasznos dolog érkezik a fej- 
lesztőók számára a Windows Server 2008 
megjelenésével, és ennek csak egy szelete az 
amúgy önmagában is hatalmas 3-as .NET 
keretrendszer. 

Smulovics Péter 
(petersmComicrosoft.com) Microsoft Magyarország 
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OLAP-ALAPOK 


Egy tipikus feladat: összetett kimutatáskészítő rendszert építünk. 


z OLAP (Online Analytical Processing) rendszerek lényege, hogy rajtuk keresztül az 
adatokat számos elemzési szempont szerint csoportosítva, összesítve mutathatjuk meg 
a felhasználóknak, akik azokat tovább csoportosíthatják, szűrhetik és különböző esz- 
közökkel online elemezhetik. Az OLAP-modellek szemléletmódja, szerkezete alapvetően eltér 


az adatok relációs vagy objektum 
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alapú szemléletétől. Cikkünkben 
egy OLAP rendszer felépítésének "80 ag 
lépéseit és a legfontosabb fogal 
makat mutatjuk be egy tipikus 
feladaton keresztül. 

Vizsgáljuk meg egy egyszerű 
példán, hogy miért is érdemes 
OLAP-modellek építésén gondol 
kodnunk. Az I. ábrán egy meg- 


rendeléskezelő rendszer adatmo- 





dellje látható. 








Tételezzük fel, hogy a cég ve- 
zetésétől azt a feladatot kapjuk, 1. ábra. Relációs modell 


hogy készítsünk kimutatásokat 





PELEcT 
Sales.SalesTerritory. [Group] , 
Person. Contact . FirstName, 
Person. Contact . LastName, 
JUN(Sales.SalesOrderDetail.OrderOty) AZ Ouantíty, 
SUM (Sales.SalesOrderDetail.LineTotal) AS Amount 
FROM 
Person.Contact INNER JOIN 
HumanResources.Employece 
ON Person.Contact.ContactID - 
JSales.SalesPerson 
ON Sales.SalesPerson.SalesPersonID - 
Jales.JSalesOrderlieader 
ON Sales.SalesPerson.SalesPersonID - 
Sales.SalesOrderDetail 
ON Sales. SalesOrderHeader. SalesOürderID - 
Jales.SalesTerrítory 
ON Sales.SalesOrderHeader.TerritoryID - 


termékenként és kereskedőnként 
az eladásokról, az adatok legye- 


nek lekérdezhetők éves, negyed- 


, , 8... És HumanResources . Employee. EmployeeID INNER JOIN 
éves és havi összesítésben, lehes- 6 EKASTEE Test 
HumanResources . Employee . EmployeeID INNER JOIN 


sen azokat csoportosítani érté- 


Sales .SalesOrderHeader . SalesPersonID INNER JOIN 


sú CÉ ; 62. 4 s § Sales.SalesOrderDetail.SalesOrderID INNER JOIN 
kesítési régiónként, és ha lehet, 
Sales. SalesTerrítory.TerritoryIiID 

GROUP DY 

Sales.SalesTerritory. [Group] , 

Person. Contact . FirstName, 

Person. Contact . LastName 
ORDER DY 

Sales .SalesTerriítory. [Groupj) , 

Person. Contact. FirstName, 

Person. Contact . LastName 


2. ábra. Példaképpen egy SELECT 


akkor viszonteladónként is. Az 
igények további elemzése során 
kiderül, hogy a felhasználók kü- 


lönböző módokon szűrni is akar- 











ják az adatokat, például csak a 
100 dollárnál olcsóbb termékek eladási adatait akarják látni, vagy egy bizonyos kereskedő tel 
jesítménye érdekli őket. A felhasználók egy része pedig Excelben szeretné tovább elemezni az 
adatokat, ezért azt szeretnék, hogy a kimutatások közvetlenül az Excelben jelenjenek meg. 
Némi elemzés után azt látjuk, hogy ez bizony nagyon sok különböző kimutatás: kimuta- 
tásonként különbözőképpen paraméterezett SOL-utasításokat vagy tárolt eljárásokat kell ír- 
nunk, ráadásul más-más szempont szerint kell csoportosítani, összesíteni az adatokat. 
Továbbgondolva a feladatot, arra a következtetésre jutunk, hogy egy olyan rendszer kellene, 
amelynek révén az adatokat a felhasználók tetszőleges szempontok szerint csoportosíthatják, 
összesíthetik, szűrhetik és megjeleníthetik. 
Neki is állunk tehát, írunk egy olyan programot, amely lehetővé teszi, hogy a felhasználó 
kiválassza: milyen szempontok szerint és milyen sorrendben szeretné az adatokat csoportosíta- 
ni, rendezni, és milyen szűrőfeltételeket szeretne alkalmazni. Programunk a paramétereknek 


megfelelően dinamikusan összerak egy SELECT utasítást, amelyet lefuttatunk az adatbázi- 


sunkon, majd az eredményből HIML alapú 
kimutatást vagy Exceltáblázatot készítünk. 
Készen vagyunk, a felhasználók elégedettek, 
mi pedig bezsebeljük az elismerést. 

A gondok viszont csak ezután következ- 
nek. Egy év használat után a rendszerünk 
elkezd lassulni, a jelentések elkészítése egyre 
hosszabb időt vesz igénybe. 

Elemezve a helyzetet rájövünk, hogy az 
összesítések feldolgozása nagyon megterheli 
az SOL Servert, ezért úgy döntünk, hogy egy 
másik szerverre tükrözzük az adatokat, és a 
kimutatásokat onnan tuttatjuk; 

Úgy látszik, hogy sikerrel veszzük ezt az 
akadályt is, azonban jön az újabb kihívás: az 
értékesítési adatok mellett a kereskedők kvó- 
táját is meg kellene jelenítenünk. Ezek Excel 
táblázatokban vannak ugyan, de vegyük már 
át őket! Elkezdjük tehát áttervezni a rend- 
szerünket: az adatbázisunkat új táblákkal 
kell bővítenünk, az eddigi lekérdezéseinket 
meg módosítanunk kell. Azonban még be 
sem fejeztük a tervezést, jelentkezik az újabb 
igény: vegyük bele a rendszerbe az internetes 
kereskedelmi rendszer eladási adatait is. Na, 
körülbelül ez lenne az a pont, ahol komolyan 
azon kezdenénk gondolkodni, hogy kere- 
sünk egy másik állást. Az álláskeresés helyett 
azonban más megoldást is választhatunk: fel 
építünk egy adattárházat, amely eléggé rugal- 
mas ahhoz, hogy különböző rendszerek ada- 
tait be tudja fogadni, és olyan a szerkezete, 
hogy egyszerű legyen belőle kimutatásokat 
vagy Exceltáblákat gyártani. 


Adattárház építése — a csillagséma 

Először az adatszerkezetünket gondoljuk 
át. Mivel az adatbázist úgyis megtükröztük, 
nem okoz különösebb gondot az eredeti táb- 
laszerkezetünk olyan átalakítása sem, hogy 
minél könnyebb legyen benne összesítő le- 
kérdezéseket futtatni. Némi utánajárás, ne- 


tes kutakodás alapján az adattárházak alap- 
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vető adatszerkezeténél, a csillagsémánál kö- 
tünk ki. A csillagsémát egy adatokat (té- 


nyeket) tartalmazó központi ténytábla, és 


úgy értelmezhetjük, hogy megkeressük a di- 
menziótáblákban a kulcsoknak megfelelő re- 
kordokat. 

A dimenziótáblák rekord- 
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jai a dimenzió tulajdonságait 
(más szóval attribútumait) tar- 
talmazzák. A termékdimenzió 
esetében ezek a termék jellem- 
zői: a termék neve, egységára, 
típusa, színe stb. Az idődimen- 
zió attribútumai például az 
adott naphoz tartozó év, ne- 
gyedév, hónap, nap stb. 

A dimenziótáblák általában 
erősen redundánsak, denor 


malizáltak. A denormalizáció 





csökkenti a táblák közötti kap- 





3. ábra. Csillagséma 


a körülötte elhelyezkedő, csoportosítási és 
szűrési szempontokat tartalmazó dimenzió- 
táblák alkotják. 

A ténytábla sorai adatrekordokat tartal 
maznak, mégpedig a dimenziótábláknak 
megfelelő részletességgel: minden egyes sor 
egy adott termék, egy adott napon, egy adott 
kereskedő által, egy adott viszonteladónak, 
egy adott kereskedelmi területen értékesített 
mennyiségének, költségének és bevételének 
az Összegét tartalmazza. Azt is mondhatjuk, 
hogy a kereskedő, az idő, a termék, a viszont 
eladó és az értékesítési terület a ténytáblában 
található adatok dimenziói, azaz ezek segít 
ségével helyezhetjük el az adatokat , térben 


és időben", az adatok sokdimenziós terében. 
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csolatok számát, és alaposan 
leegyszerűsíti az adatszerkeze- 
tet, ezáltal csökkenti a lekérde- 


zések elkészítésének és futtatá- 


LATTA TT eles ellát 


Ble Edk Wew Eroject Table Designer Database Diagram — Ioois  Wöndow Community  tHob 





Az adattárházunk persze nem egyetlen 
csillagból fog állni, mivel egy csillagsémába 
nehéz lenne jól kezelhető módon minden 
adatot betölteni. Jó példa erre a kereskedel 
mi kvóták, vagy az internetes eladások esete. 
A kvótát kereskedőnként éves szinten hatá- 
rozzuk meg, így az előző csillagunk napi szin- 
tű adatai közé nem lenne szerencsés a kvóta- 
adatot betölteni. Ráadásul a kvótához nem 
kapcsolódik a viszonteladó, a kereskedelmi 
terület és a termék. Hasonlóképpen az inter- 
netes eladások esetén szintén nincs értelme 
viszonteladóról beszélni. 

Így az adattárházunkat három csillagra 
tudjuk bontani, egy-egy ténytáblát szentelve 
a viszonteladói és az internetes eladásoknak, 
és egyet a kvótának. 

A dimenziótáblák viszont lehetnek kö- 


zösek, azaz ugyanaz a jellemző több csillag 


kal 
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Könnyen beláthatjuk, hogy 
egy ilyen adatstruktúrában a 
lekérdezések készítése valóban 
lényegesen egyszerűbb, mint az 
eredeti modellben. Ahhoz pék 
dául, hogy a területek és keres- 
kedők alapján csoportosított 
kimutatást készítsünk, itt csak 
két táblakapcsolat szükséges, 
az eredeti négy helyett. Nem 
csak könnyebb így megírni a lész 
SELECT-et vagy az azt készí- 
tő programot, de a lekérdezés 

is sokkal gyorsabban tud fut 


ni, mivel kevesebb erőforrást 

















Item(s) Saved 








igényel a szervertől az adatok 
összeszerelése. 

Természetesen a csillagsé- 
mába be is kell töltenünk az 
adatokat. Egyszerű esetben 
választhatjuk azt a megoldást, 
hogy a csillagot, mondjuk, 
mindennap újratöltjük adat 
tal. Ezt nyilván nagyon köny- 
nyű megvalósítani, de nagy 
adathalmaz esetén nem ez a 


hatékony megoldás, hanem 





4. ábra. A csillagséma részletes szerkezete 


A központban lévő ténytábla a dimenzió- 
táblákhoz egy-egy kulccsal kapcsolódik. A 
ténytábla soraiban található adatokat tehát 


inkább a változások átvezeté- 
se. Ennek a kivitelezése több 
munkát igényel ugyan, cserébe viszont köny- 
nyen lekérdezhető, jól áttekinthető adat 


struktúrát nyerünk. 
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5. ábra. A teljes csillagséma 


ágán is szerepelhet. Ennek a struktúrának a 
kiemelkedő előnye az lesz, hogy a különböző 
adatok (az internetes és a viszonteladói érté- 
kesítés, valamint a kvóta) a közös dimenzió- 
táblák mentén összekapcsolhatók lesznek. 
Ha idáig elértünk, akkor van egy profesz- 
szionális adatszerkezetünk, amire ráépíthet 
jük a lekérdező, elemző rendszerünket. A 
kérdés most már az, hogy fejlesszünk-e egy 
saját rendszert, vagy alkalmazzunk valami 
lyen létező, jól bevált megoldást. A válasz 
egyszerű: implementáljunk egy OLAP rend- 
szert, és használjuk a lekérdezésekhez pél 


dául Excelt vagy Reporting Servicest. 


Az OLAP rendszer implementálása 
Az OLAP rendszereket pont arra találták ki, 
amire szükségünk van: az OLAP rendszer- 


ben az adatokat tetszőleges szempontok sze- 
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rint összesíthetjük, szűrhetjük, elemezhetjük 
és megjeleníthetjük. Mindezt közel valós idő- 
ben, de legalábbis a relációs rendszereknél 
több nagyságrenddel gyorsabban. 

Mivel az adataink SOL Server 2005-ben 
vannak, kézenfekvő a megoldás, hogy az 
Analysis Servicest használjuk a rendszerünk 
megépítésére. Az OLAP rend- 


Az OLAP-kockák adatai a dimenzió-attri- 
bútumok mentén csoportosíthatók, össze- 
síthetők, szűrhetők, a hierarchiák mentén 
pedig egyszerűen navigálhatunk bennük, így 
alkalmasak az adatok tetszőleges csoporto- 
sításban való megjelenítésére, összesítésére, 


elemzésére. Egy-egy jól definiált OLAP-koc 


NT ? 


rarchiák. A dimenzió-attribútumok gyakran 
rendezhetők olyan hierarchikus kategóriák: 
ba, mint például ,év - negyedév - hónap 
9) , , 9) 
- nap" vagy , ország - megye - város". Ezeket 
az adatokat a csillagséma dimenziótáblái tar- 
talmazzák, de nem mondanak semmit az 
egymáshoz fűződő kapcsolatukról. A hierar- 


chiák egymásra épülő szintek- 









szer elkészítése előtt azonban ETRMÉZÉTS kk tk ec ANÁÁNRA (Dimensim FF] Hierarchy Operator Filter ExpreE ből állnak, a szintek felülről 
. 5 ; ; . . sg rowtn in Customer base sel t di ő ; , ; , j 
tekintsük át a multidimenzio- alj Internet Average Sales Amount ZTE ÉTEEOSÉ eszi 2 lefelé haladva (például ország 
aléj Internet Average Unit Price Dimenziótagok Attribútumok 
nális rendszerek felépítését, nal! Internet Extended Amount - megye - város) egyre részle- 
Mértékek aj Internet Freight Cost 4 si 2] 
funkcióit. sa Internet Gross Profit ; j tesebben jellemzik az adato- 


ag Internet Gross Profit Margin 
aal Internet Örder Ouantity 
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kat. A hierarchiák mentén ösz- 








alj Internet Ratio to All Products Internet Sales mount 
Az OLAP rendszerek alga Internet Ratio to Parent Product $1,309,047.20 $2,154,284.88 szesíthetjük az adatokat, vagy 
Fk FT aal Internet Sales mount fada ks $146,829.81 $621,602.38 
felépítése nal, Internet Standard Product Cost , ( [ELFénce csrente-Mariáme [$3,578.27 sze navigálhatunk bennük: , lefúr- 
Hl kise egest El csronne Haute). $7.156-54 79410 KE zzátotá at ls leg trió 
Az OLAP rendszerek az adato- (nal Internet Total Product Cost Hauts de Seine — 1$18,882.99 $43,041.87 hatunk" például az év szintjé- 
: : ty Reseller Örders — Dimenziók HI Loir et Cher $6,021.62 ; : 
kat dimenziómodellben keze- ma s E koret HL LEKT ről a negyedév szintjére, hogy 
A CA Sales Örders oselle 677. , 801. 
lik. A dimenziómodellben az Esés slszseerar reszeg MÉSÉSSSÉÉ EST lássuk az éves összesített ada- 
F bet, 
B 67 , ig GZ ELk s Seine (Paris $26,941.90 $104,282.56 , ; énő 
adatokat dimenziók mentén Attribútumok (HL Seine et Marne 1$3,578.27 $28,506.41 tok negyedéves részletezését, 
2. ho . , 1 Í customér Seine Saint Denis. 1$17,713.07 $76,640.27 , jú; , 
elemezhetjük és  összesíthet Here HESKES tele $iLagozz vagy , felfúrhatunk" egy város 
u. al de Marne ,374. 652. 
ivar £ 38 Ernail üddress val d0ise $4,277.37 $3,578.27 ú vz , : veszt 
jük, pontosan úgy, ahogyan a E ta s regtA kra KEL ettEő szintű adatról országos szin 
, , , AR i Total $180,571.69 $514,942.01 A , s . ; 
csillagséma esetén. e gtájádái ELGermany  [4237,784.99 $521,230.85 tűre, így kiszámíthatjuk pél 
al c (EL United Kingdom a 1$291,590.52 $591,586.85 : 
Az OLAP rendszerben azon- sr lagámtát a4 § ELUnitod Statos $1,100,549.45 —— $2,126,696.55 dául egy város teljesítményét 
E a 3,266,373.66 6,530,343.53 
; : Members szintek MNNNNNENÉ : § ; mee A ; ; 
ban a csillagséma adatmodelL Deant 7) az ország teljesítményéhez vi 
4.3 j j ési sa. State-Provi új ; j szd jee 
jét továbbfejlesztjük: az ada- ú szá s IE ú ű I — szonyítva. A dimenzió-hierar- 
tokat a csillagséma alapján 6. ábra. Az OLAP-kocka szerkezete chiák általában tartalmaznak 


többdimenziós adatkockákba 

szervezzük, a dimenziókat pedig, az attribú- 
tumok mellett, a dimenzión belüli adatcso- 
portosítást és navigációt támogató hierar- 


chiákkal is felruházzuk. 


A dimenziómodell legfontosabb 
elemei 
Kockák. A kockák mértékekből és a mérté- 
keken értelmezett dimenziókból állnak. A 
mértékek a csillagséma ténytáblájában talál 
ható adatok, míg a dimenziókat a dimenzió- 
táblákból hozzuk létre. Egy kocka számos 
különböző mértéket tartalmazhat, az egyes 
mértékeket pedig különböző dimenziókkal 
jellemezhetjük. Az adatok elemzését, lekérde- 
zését, csoportosítását a dimenziók mentén vé- 
gezhetjük el, csakúgy, mint a csillagsémában. 
Az OLAP-kockát akár úgy is elképzelhet 
jük, mint egy többváltozós függvényt, ahol 
a dimenziók a változók, a függvény értékei 
pedig a dimenziók által meghatározott ada- 
tok. Három dimenzió esetén ez egy olyan 
, kocka", amelynek élei mentén dimenzióta- 
gok (a dimenziótábla egyes attribútumainak 
értékei) helyezkednek el, a metszéspontjaik- 
ban található , cellákban" pedig a mértéke- 
ket találjuk. 


ka akár jelentések százainak az elkészítésére 
is alkalmas lesz anélkül, hogy bonyolult le- 
kérdezéseket kellene rajta definiálnunk. 

Az OLAP-kockákat a csillagséma alapján 
készítjük el: a mértékeket a ténytáblák, a 
dimenziók adatait pedig a di 


egy legfelső , összesen" szintet, 

amely a hierarchia felső szintjéhez tartozó 
adatok összesítését támogatja. 
Dimenzió-hierarchiának —— tekinthetünk 
egyetlen dimenzió-attribútumot is, ebben az 


esetben a hierarchiának két szintje van, az 





menziótáblák tartalmazzák. 


Dimensions 


Az eddigiek alapján köny- 





nyen felmerülhet a kérdés: ha 8 Aral rest 


egyszer az OLAP-kocka a csil 
lagsémára épül, miért van rá 
szükség? Miért nem a csillag- 
sémát használjuk az adatok le- 


kérdezésére? 


tg Sales Territory 





A kérdésre a válasz nem tri- 
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Measure Groups 
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viális, de röviden összefoglal 
ható: az OLAP-kockákban elő- 
re, a kockák adatainak betöltését követően 
összesíthetjük és indexelhetjük az adatokat, 
így nagyságrendekkel csökkenthetjük a le- 
kérdezési időt. Emellett az OLAP-modellek 
az adataink hierarchikus szerkezetét is tartal 
mazzák, amely megkönnyíti az összesítések 
és a lekérdezések definiálását, meggyorsítva 
ezek végrehajtását. 

Dimenzió-hierarchiák. Az OLAP-model 


lek fontos elemét képezik a dimenzió-hie- 





7. ábra. Mértékcsoportok és dimenziók kapcsolata 


egyik maga az attribútum, a másik pedig az 
,Összesen" szint. Az egy attribútumból ál 
ló hierarchiákat attribútum-hierarchiáknak, 
míg a több attribútumból állókat felhaszná- 
lói hierarchiáknak hívjuk. 
Mértékcsoportok. Az OLAP-kockában - 
csakúgy, mint a csillagsémában - nem min- 
den mértékre értelmezhető minden dimen- 
zió, és az is gyakran előfordul, hogy az adato- 


kat nem ugyanolyan részletességgel gyűjtjük. 
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A kereskedők kvótáját nem bontjuk meg 
termékek szerint, van viszont negyedéves és 
területi bontás. Ugyanakkor az eladási ada- 
tainkat termékek szerint is csoportosítjuk, és 
napi szinten tároljuk. A mértékeket, a rájuk 
értelmezett dimenzióknak és a részletezett 
ségüknek megfelelően mértékcsoportokba 
soroljuk: azok a mértékek kerülnek egy cso- 
portba, amelyekre ugyanazok a dimenziók 
vonatkoznak, és ugyanolyan részletezettsé- 
gűek. Az összetett csillagséma minden egyes 
csillagának egy mértékcsoport felel meg a 
kockában. A mértékcsoportokhoz más-más 
ténytábla tartozik, a dimenziótáblákat pedig 
eltérő módon kapcsolhatjuk azokhoz. A kü- 
lönböző mértékcsoportok adatait a közös di 


menziók mentén együttesen is elemezhetjük. 


Az UDM 


Az Analysis Services 2005 dimenziómodel[L 
je az UDM, azaz az egyesített dimenziómo- 
dell (angolul Unified Dimensional Model). 
Az UDM a hagyományos dimenziómodellek 


előnyös tulajdonságait továb- 


A felsoroltakon kívül még nagyon sok ké- 
nyelmi, teljesítmény- és megbízhatóságnöve- 
lő tulajdonsággal rendelkezik. 

UDM-ügyfelek. Az UDM-hez különböző 
interfészeken keresztül sokféle eszközzel fér- 
hetünk hozzá. 

Az UDM-ben létrehozott kockáinkat hasz- 
nálhatjuk az Excelből, a Visióból, a Report 
ing Servicesből, a Business Scorecard Man- 
agerből, a SharePointból, a Performance- 
Point Serverből és a ProClarity-ből, de más 
gyártók elemző, adatmegjelenítő alkalmazá- 
sai is támogatják, mint például a Cognos 
vagy a Business Objects. 

A felhasználók így nemcsak az általunk 
fejlesztett lekérdezőalkalmazást használhat 
ják, hanem a legkülönbözőbb rendszerek kö- 
zött válogathatnak, az igényeiknek (na meg a 
pénztárcájuknak) megfelelően. 

Fejlesztés, telepítés, karbantartás. Az 
UDM-modellek fejlesztésére, telepítésére és 
karbantartására számos eszköz áll rendelke- 


zésünkre: általában a Business Intelligence 





bi fontos elemekkel egészíti ki, 


amelyek az Analysis Servicest 6 ájjzátááásti 
etés séel aj 

t Accessories 

HBikes 


JcClothing 


alkalmassá teszik a relációs és 
a  multidimenzionális jellegű 
adatstruktúrák hatékony mo- 
dellezésére is. Az UDM a fle- 
xibilis adatmodellezésen kívül 
számos olyan funkciót is tartal 


maz, amely a dimenziómodellt 


1 Components 
Grand Total 





Country-Region France — [4 





jv] Subcategory ProductName Color 


400,427 884,245 — 1,2834,671 

1 Bib-Shorts 64,877 64,877 
JCaps 6,907 14,632 21,588 
AWC Logo Cap. Multi 4,705 4,705 

AWCLogo Cap. Multi 6,907 9,977 16,883 

HGloves 18,146 103,258 121,404 
4 Jerseys 1593 aA 723 456,526 


HTights 


HShorts 114, j 1 296,581 
H1Socks Row: Clothing - Jerseys 93 18,353 

3 37 78,937 
t1Vests 93,142 133,263 226405 


Calendar Year 
CY 2004 

198,943 

14,256,061 


8 CY 2003 Grand Total 
322,390 521,333 
26,529,771 40,785,832 





2,091,012 
16,946,442 


5.482497 — 7,573,509 
33,218,903  50,165,345 








gazdagabbá, jobban felhasznál 
hatóvá teszi. 

Az UDM a dimenziómo- 
dellezés mellett lehetővé teszi, hogy a koc 
káinkban számításokat végezzünk. A számí- 
tások nyelve az MDX (Multi Dimensional 
Expressions), amelynek speciális függvényei 
vel és kifejezéseivel az OLAP-kockákban na- 
vigálhatunk, halmazokat képezhetünk és 
számításokat végezhetünk. 

Az UDM támogatja a KPl-k készítését 
és lekérdezését; a modellek több nyelvre 
fordítását (Iranslations); a dimenziókhoz, 
egyes adatokhoz kapcsolt akciók (például 
jelentés megnyitása, részletek megjelenítése) 
definiálását és végrehajtását; a kockák né- 
zeteinek definiálását (Perspective); az adat 
bázisok particionálását; az adatok külön- 
böző adatstruktúrákban történő tárolását 
(Multidimenzionális OLAP, Relációs OLAP, 
Hibrid OLAP). 


8. ábra. OLAP-kocka az Excelben 


Development Studióval (Visual Studio 2005) 
és az SOL Server Management Studióval in- 
teraktív módon, míg az XMLAs-sszkriptek, 
AMO (Analysis Management Objects) hasz- 
nálatával programozottan végezhetjük el a 
munkát. 

A feladatok végrehajtását az SOL Server 
Integration Services és az SOOL Server Ágent 


segítségével automatizálhatjuk. 


A megoldás 

A fentiek alapján a megoldásunk egy három 
mértékcsoportot (Reseller Sales, Internet 
Sales, Sales (Ouota) tartalmazó UDM-kocka 
lesz, amelynek adatait öt dimenzió (Product, 
Sales Territory, Reseller, Time, Employee) 
mentén elemezhetjük. A kockák alapjául 


nyolc relációs tábla szolgál: három ténytáb- 





la (FactResellerSales, FactInternetSales, Fact 
Sales(9uota) és öt dimenziótábla (DimProd- 
uct, DimSaleslerritory, DimReseller, Dim- 
Time, DimEmployee). 

A felhasználók az adatokat Reporting 
Services-zel készített jelentésekben kérdez- 
hetik le, vagy közvetlenül az Excelben ele- 
mezhetik. 

Példaképpen lássuk, mire képes az UDM 
az Excelben. Az Excelfelhasználók az UDM- 
ből közvetlenül kimutatásokat és diagramo- 
kat készíthetnek, a megjeleníteni tervezett 
dimenziókat és mértékeket tetszőlegesen 
megválasztva. 

Természetesen az adatokat feltételek alap- 
ján szűrhetik, és tovább is csoportosíthatják 
újabb összesítéseket képezve. A megjelenítést 
feltételes formázással egészíthetik ki, így pél 
dául kiemelhetik az átlagosnál jóval gyen- 
gébben eladott termékeket. A kimutatások 
használatához nem kell speciális ismeret, 
elegendő az OLAP-kockák dimenzióit, mér 
tékeit és az Excelkimutatás (pivot) működé- 
sét mépérteni, 

Megoldásunk tehát látványos, gyors, ská- 
lázható és végül, de egyáltalán nem utolsó- 
sorban bővíthető: az újabb adatok elhelyez- 
hetők a meglévő ténytáblákban, vagy újabb 
ténytáblákat és dimenziótáblákat illeszthe- 
tünk be, a kockánkat pedig ennek megfele- 
lően alakíthatjuk át. 

Egy ilyen megoldás implementálása egy- 
két héttől néhány hónapig terjedhet, attól 
függően, hogy milyen adatokkal dolgozunk, 
és milyen egyéb követelményeknek kell meg- 


felelnünk. 


További információk 
Annak, 
Analysis Services által nyújtott szolgáltatá- 
sokkal, lehetőségekkel és az UDM-modellek 
építésének részleteivel, érdemes elolvasnia az 
SOL Server Analysis Services 2005 Step by 
Step (Microsoft Press - http://www.micro- 


aki szeretne megismerkedni az 


soft.com/mspress) könyvet vagy Teo Lachev: 

Applied Analysis Services 2005 (Prologika 

Press - http://www.prologika.com) című 

könyvét. Természetesen OLAP-tanfolyamok 

a hivatalos Microsoftoktatóközpontoknál is 
elérhetők. 

Kovács Zoltán 

vezető oktató 

(kovacszOoszamolk.hu) 

Számalk 
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SAJÁT MICROSOFT 


,Lehozzuk a technológiát földközelbe" — interjú Kőnig Tiborral." 


T. M.: A szakmai közösség legtöbb tagjának aligha kell bemutatkoznod, az , újak" számá- 
ra viszont mondd el: ki vagy és mivel foglalkozol a Microsoftnál! 

K. I.: König Tibor vagyok, szakmai vezető a nagyvállalati csoportban. Szakmai vezetőként az 
a feladatom, hogy az ügyfelek komplexebb projektjei kapcsán - amelyek különféle technológiá- 
kat érintenek - fogjam össze és koordináljam 
a megfelelő szakértőinket. Szintén hozzám 
tartozik a szakmai napok rendezése, az itt el 
hangzó előadások felépítésének, mélységének 
és tartalmának kitalálása. 

Emellett rendszermérnökként is műkö- 
döm, azon belül is a SharePoint egyes elemei- 
vel foglalkozom: űrlapkezeléssel, üzletiintel 
ligencia-szolgáltatásokkal, valamint a nagy- 
vállalati projektkezeléssel, tehát a Project 
Serverrel, Project Professionallel. Sajnos egy- 
re csökkenő mértékben, de még a TechNet 
szemináriumokon és más külső eseményeken 


is részt veszek. 


T. M.: Hogyan tudsz lépést tartani ilyen 
sok technológiával? 
K. I.: Nagyon régóta itt vagyok már a cég- 


nél, gyakorlatilag én voltam az első technikai 





ember. Ezért tulajdonképpen együtt nőttem 


a termékportfólióval. Igazából itt arra vigyáz- 


Kőnig Tibor 


tam, hogy valamilyen szintű átlátóképességet 
megőrizzek: legyen egy olyan keretrendszer a 
fejemben, amelyben el tudom helyezni a mi termékeinket, legyen gyakorlatilag bármilyen üzle- 
ti területről szó, és persze ennek a keretrendszernek elég rugalmasnak kell lennie, hogy a part 
nereink is beleférjenek, sőt adott esetben a versenytársaink is. Sajnos, mondjuk, a Zune vagy az 
Xbox már kívül esik ezen a körön, bár többen szoktuk mondogatni, hogy itt az álomállás vala- 


melyik játék termékmenedzseréé lenne. 


T. M.: Mióta foglalkozol Microsoft-technológiákkal? Mikor kerültél ide? 

K. I: 93 decemberében, egy karácsonyi partyn álltam először a Microsoft színeiben az ügy- 
felek rohamát - az Operaházban volt -, de igazából úgy kerültem kapcsolatba a Microsofttal, 
hogy 92-ben, amikor az Olivetti nevű cégnél dolgoztam, elküldtek egy 11 hetes tréningre. Az 
Olivetti egy hagyományos értékeket nagyon szem előtt tartó vállalat volt - jól tönkre is ment 


már azóta -, és ennek a 11 hétnek az első öt hete szakmai tréning volt. Hagyományos unixos 





" Rövidített, szerkesztett változat, az interjú teljes szövege és hangfelvétele megtalálható a kö- 


vetkező URL-en: http://tinyurl.com/38fr7w 


ÁPRILIS-MÁJUS 





megközelítéssel, aminek a végére mi imád- 
koztuk oda a Novellt, hogy legalább egy ren- 
des technológiáról hadd halljunk többet. 

A legutolsó napján ennek a tréningnek el 
vittek minket egy olyan terembe, ahol addig 
még nem jártunk - ott volt 5 PC-nek látszó 
tárgy, de valójában gyorsan kiderült róluk, 
hogy sokkal erősebb munkaállomások, rá- 
adásul nem is inteles, hanem RISC-procesz- 
szorokkal, és egy olyan operációs rendszer 
futott rajtuk, amire azt mondták, hogy az a 
Windows NT. "92-ben még nem volt kész a 
szoftver teljesen. Ezek a gépek - máig em- 
lékszem rájuk - több tartományban futot 
tak, mindegyik gép egy-egy tartományvezérlő 
volt. Egy picit beszéltek erről nekünk, és na- 
gyon felkeltették az érdeklődésemet, hogy a 
Microsofttal foglalkozzam. 

Korábban egy angol cégnél szoftverfejlesz- 
tő voltam, tőzsdei alkalmazásokat készítet 
tünk, amelyeknek a kliensoldala Windows 
3.0-n futott. Tehát azt már tudtam, hogy a 
Windowsban nagyon nagy üzleti potenciál 
van, mindenki Windowst akart használni a 
felülete miatt. Viszont annak a 3.0-s verzió- 
nak a korlátaival is pontosan tisztában vol 
tam, és akkor a tréningen azt láttam, hogy itt 
van egy új operációs rendszer, amivel ez átlép- 
hető. Úgyhogy alig több mint egy év múlva 


átnyergeltem a Microsofthoz. 


T. M.: Az elmúlt több mint 13 évben me- 
lyek voltak a legemlékezetesebb élményeid a 
Microsoftnál? 

K. I.: A redmondi látogatások. Azt gon- 
dolom, hogy ez bárkinek nagy élmény, aki az 
informatikában benne van, és nem valami 
féle vallásos utálattal viseltetik a Microsoft 
iránt. Nekünk, a Microsoftnál dolgozóknak 
ez az egyik Mekkája az informatikának. Én 
mindig nagyon szívesen megyek oda, olyan, 
mint egy városrész - valójában nem felhő- 


karcoló székházakat kell elképzelni, hanem 


L/ 
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egy sokkal nyugodtabb, békés környezetet, 
ahol tavak, focipályák, egyemeletes épületek 
vannak, amelyek között csak úgy mászkálni 
is kellemes. 

Elmondanék még egy személyes élményt 
is: az első komoly feladat amit a Microsoftnál 
kaptam, egy termékbejelentés megszervezése 
és lebonyolítása volt. Méghozzá a Windows 
for Workgroups 3.ll-es, illetve a Word 
6.0 változatának bejelentése. Helyszínül a 
Planetáriumot választottuk. Akkoriban nagy 
divat volt a különböző előadók zenéjére készí 
tett lézershhow-knak a bemutatása, ezért egy 
egyedi lézershow-t készíttettünk mi is azzal 
a céggel, amely ezt egyébként a Planetárium 
számára végzi. Nagyon érdekes Microsoftké- 
peket használtak fel hozzá - emberi kézből 
egér lett, és hasonló lézeres áttűnéseket lát 
hattunk, de az az igazság, hogy kicsit meg- 
csúsztak időben, és nem készültek el elég 
hosszú anyaggal. Én kértem tőlük - már 
nem emlékszem a pontos időkre, de talán 
- 15 percet, és 8 percnyi anyaggal készültek 
el mindössze. De megnyugtattak: azt mond- 
ták, hogy van egy témájában gyakorlatilag 
teljesen idevágó saját készítésű anyaguk, amit 
majd hozzátoldanak ehhez, és úgy rendben 
lesz minden. 

Nem volt időm megnézni a kész anyagot, 
viszont a termékbejelentésre eljött az akko- 
ri európai elnök. Az eleje jól indult, az ösz- 
szes informatikai motívum bejött a közönség- 
nek is. Aztán egyszer csak azt láttuk, hogy a 
Microsoftjelképek afrikai halotti maszkokká 
változnak, és mindenféle vadászó bennszü- 
löttek képei jelennek meg; a zene is ennek 
megfelelően változott meg. Döbbenten fi 
gyelt mindenki. Én ott, miközben elsüllyed- 
tem a székben, azt gondoltam, hogy most 
már holnap be sem kell jönnöm dolgozni. De 
ha nem is rúgnak ki, énrám többé pénzt en- 
nél a cégnél nem bíznak. Utána magához ké- 
retett az európai elnök, és azt mondta, hogy 
ez egy rendkívül érdekes előadás volt, bár ő 
nem teljesen értette a kontextust, amelyben 
ezek az afrikai dolgok előkerültek, de úgy 
látta, hogy a közönségnek nagyon tetszett. 
Szerinte egy kicsit jobban kéne fókuszálni, de 
maga a bemutató, az remekül sikerült - úgy- 
hogy gratulál. 

Megdöbbentő élmény volt! Én tényleg azt 
hittem, hogy itt vége a microsoftos karrierem- 
nek, és kiderült, hogy nem, ennél a cégnél le- 


het hibázni, az a lényeg, hogy ne sokszor, il 


Pj! 


letve látszódjon az az irány, amibe te akartál 


menni, és tudj tanulni a saját hibáidból. 


T. M.: Szemben ezzel a kis bakival, mire 
vagy igazán büszke az elmúlt pár évből? 

K. 1I.: Egyértelműen büszke vagyok a 
TechNet sorozatra, ott is elsősorban azt emel 
ném ki, hogy nagyon sok microsoftos és nem 
microsoftos előadó van, akiket szívesen fogad 
a közönség, akik felnőttek, és nagyon megta- 
nultak előadni, nagyon megtanulták értelme- 
sen átadni azt a sok információt, amelyeket 
ezekkel a termékekkel kapcsolatban át is kell 
adni. Lojális közönségünk van, és azt gon- 
dolom, hogy senki másnak nincs az ország- 
ban ilyen jellegű tudástranszferceseménye. 
Amikor idejöttem a Microsofthoz, az eredeti 
cél az volt számomra, hogy olyan cégnél dol 
gozzam, amelyik a magyar piacon is széles 
körben használt szoftvereket tud előállítani, 
és amelyik képes arra, hogy a magyar infor- 
matikai kultúrát magasabb szintre emelje. 
Azt gondolom, hogy a TechNet egyértelműen 
nagy lépés ebbe az irányba. 


T. M.: Mi az, ami még ennyi idő után is 
itt tart a cégnél? 

K.I.: Az az érdekes a Microsoftban, hogy 
szépen, lépésről lépésre megtalálja azokat a 
felhasználási területeket, amelyek korábban 
csak fehérköpenyes, nagyon szakértő, nagyon 
sok pénzért dolgozó cégek territóriumának 
számítottak. Ezeket lehozza a földközelbe, 
mind az árukat, mind a szolgáltatásaik el 
érhetőségét tekintve. Olyan terméket csinál 
belőlük, amely a cégek sokkal nagyobb része 
számára elérhető, honosítja őket. Ezzel pedig 
olyan szerepet tölt be, amilyen nincs még egy 
az informatikában. 

A rendszermérnökök szerepe pedig jól rí- 
mel erre. A mai magyar nagyvállalatoknál 
- mint mindenhol máshol a világban - már 
igen sok technológia van. Ezeknek az értel 
mes áttekintése, annak a kitalálása, hogy ha 
már egy adott szinten állunk, hogyan lépjünk 
tovább; annak a felfedezése, hogy milyen 
komponensekre van ahhoz szükségünk, hogy 
pluszszolgáltatásokat tudjunk nyújtani a saját 
ügyfeleinknek, felhasználóinknak, nem egy- 
szerű feladat. 

A rendszermérnökök pont abban segíte- 
nek, hogy a szükséges eszközök közötti válasz- 
tást megkönnyítsék, lehetővé tegyék. Amit a 


Microsoft csinál nagyban, mi is azt csináljuk 


kicsiben. Nagy élmény ezzel foglalkozni, és 


folyamatosan kihívást nyújt. 


T. M.: Mennyire tudod elválasztani a 
munkát a szabadidőtől? 

K. I.: Amikor csatlakoztam a Microsofthoz, 
majdnem minden hétvégén dolgoztam. 
Nagyon sok munka volt, és egyedül voltam. 
Ahogy a rendszermérnöki csapatot építget 
tem, lassan összeállt egyfajta munkamegosz- 
tás, amelyben szorosan együttműködünk a 
tervezést és bevezetést végző MCS-sel, vagyis 
a Microsoft nagyvállalati szolgáltatások üzlet 
ágának konzulenseivel, valamint a szakmai 
ügyfélszolgálattal is. 

A terhek folyamatosan csökkentek, így 
már nem feltétlenül kellett dolgoznom a hét 
végeken, de ez nagyjából egybeesett azzal az 
időszakkal, amikor a notebookok elérhetővé 
váltak. Ezen kívül a Microsoft fizette az ak- 
kor még telefonos betárcsázási díjat, magya- 
rán az otthonról való munkavégzés lehetsé- 
gessé, sőt adott esetben kívánatossá vált. 

Ma már tulajdonképpen azt lehet mon- 
dani, hogy a munka kötelező részét el lehet 
végezni napi 8 órában is. Azonban nekem a 
munkám legalább annyira a hobbim, mint 
a tényleges pénzkereső foglalkozásom, úgy- 
hogy még így is nagyon sok időt fordítok rá. 
Egyetlenegy megszorítást tettem, amikor a 
második gyerekem is megszületett, és már 
óvodás korú lett: akkor megállapodtam az 
akkori főnökömmel - és ezt azóta is frissítet 
tem minden további főnökömre -, hogy he- 
tente két napon négy órakor elmegyek a cég- 


től, és akkor én megyek értük az iskolába. 


T. M.: Ez tényleg elvárt, hogy ilyen sokat 
dolgozzon mindenki? 

K. 1.: Most már nagyon sokan vagyunk a 
leányvállalatnál, de amikor én jelentkeztem, 
és utána is még jó sok évig az volt a jellem- 
ző, hogy nem olyan embereket keresett a cég, 
akik a főnökük által kiszabott munkát fog- 
ják végrehajtani, hanem akik átlátják a saját 
munkakörükhöz szükséges feladatokat, ma- 
guknak tűzik ki, hogy mit szeretnének csinál 
ni, és ezt meg is valósítják. 

Azt szoktuk erre mondani, hogy itt a cég- 
nél mindenkinek megvan a saját Microsoftja, 
és addig csinálja ezt, amíg úgy gondolja, hogy 
legalább annyit kap a cégtől, illetve a céggel 
való foglalkozástól, mint amennyit ő maga 


beletesz. 
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Az Office 2007-es képzések mellett az Office 2003 
tanfolyamok is megtalálhatók kínálatunkban. 


További információk az oktatásokról: 
WWW.NETACADEMIA.NET/OFFICE 


NYÁRI BEVEZETŐ OFFICE AKCIÓ" 


Több Office tanfolyam együttes megrendelése 
esetén óriási kedvezményt kínálunk: 


0 Két Office tanfolyam után 1099 
0 Három Office tanfolyam után 1590 
6  Háromnál több Office tanfolyam után 209 


Minden Office tanfolyam megrendelés részt vesz 
egy sorsoláson, ahol a fődíj egy dobozos Windows 
Vista Ultimate!" 


"Az akciós időszak 2007.06.01-2007.09.30. között tart. 
"A sorsolás időpontja 2007.10.01. 
Csak az online megrendelések között sorsolunk! 





ACADEMIA 


A LEGJOBBAKAT TANÍTJUK. 








CROSÓET DVNAMICS 


A Microsoft Dynamics rendszerek a vállalatirányítás következő generációját képviselik. 


Értéket adunk vállalatának: 

Iparági és speciális megoldások, 

az autókereskedelemtől az építőiparig, a kiskereskedelemtől az élelmiszeriparig, 

melyet több mint 40 hazai, az adott iparágban jártas partnerünk forgalmaz és támogat. 


da Ciao Ta dna Etele tinETé 


A rendszer könnyen használható, mert a Microsoft Office rendszerek mintájára kialakított 
kezelőfelületek már az első pillantásra is ismerősek, gyorsan átláthatóak. 


Ismerje meg: www.microsoft.hu/dynamics 
V" Microsoft Dynamics 








